none
Certification authority - zobrazi se jen cast stromu

    Dotaz

  • Dobrý den.

    Nevím si rady s následujícím. Před drahnou dobou jsem na DC (W2012R2srv) instaloval AD CS. Když nyní otevřu konzoli CA, zobrazí se mi pouze následující strom:

    Certifikační autorita (Místní)

    doménaXXX-serverYYY-CA-2

    Odvolané certifikáty

    Vystavené certifikáty

    Žádosti čekající na vyřízení

    Zamítnuté žádosti

    Šablony certifikátů

    Nevím, jak postupovat, aby se mi objevilo Root, Trusted, Revoke atd.

    Také nevím, jestli je to verze Enterprise nebo Standalone.

    Díky moc za radu

    Josef Kubeček



    • Upravený pepeq77 čtvrtek 30. května 2019 12:50
    čtvrtek 30. května 2019 11:41

Všechny reakce

  • Jestliže v certsrv.msc vidíš položku Šablony certifikátů, tak máš nainstalovanou Enterprise CA.

    Zbytku dotazu nerozumím. Co si mám představit pod tím Root, Trusted, Revoke?


    BB


    čtvrtek 30. května 2019 12:32
  • Díky za odpověď. Je to fakt Enterpise.

    Asi si to budu muset víc prostudovat. Předpokládal jsem, že se mi v CA objeví Kořenová autorita (Root), pod ní Důvěryhodné certifikáty (Trusted certificates) atd. Nevím tak, jak zařadit certifikát do Důvěryhodných, když takovou možnost nemám. Nebo to jde jenom pomocí GPO? Asi se ptám úplně mimo, že?

    Josef K.

    čtvrtek 30. května 2019 13:05
  • Pleteš dvě věci - Certifikační autoritu a Úložiště certifikátů.

    CA "jen" vydává certifikáty. Pokud má být nějaká CA důvěryhodná, musíš její kořenový certifikát zařadit do Důvěryhodných kořenových certifikátů v úložišti certifikátů. Jak to uděláš, je jen na Tobě. Ručně, přes GPO . . .

    Zkus napsat, co přesně řešíš.


    BB

    čtvrtek 30. května 2019 13:13
  • No domenova by tak nejak z principu mela byt duveryhodna pro vsechny domain-joined objekty, ne :-O ?

    Samozrejme NENI duveryhodna pro nedomenove stroje / usery …

    Nebo ty chces, aby domenova CA naopak distribuovala i dalsi certifikaty (treba duveryhodne certifikaty 3. stran) do domeny? To neni to, k cemu je urcena

    MP


    čtvrtek 30. května 2019 13:41
    Moderátor
  • Na distribuci certifikátů třetích stran do důvěryhodných slouží GPO, nikoliv CA.
    pátek 31. května 2019 7:28
    Vlastník
  • Tak se tím prokousávám a postupně do problematiky pronikám. Ale než dojdu k použitelným výsledkům, tak bych prosil a odkaz na funkční nastavení webového serveru, aby webová aplikace běžící na něm byla přístupná přes https a aby uživatelé nemuseli pokaždé potvrzovat - “Objevil se problém s certifikátem zabezpečení tohoto webu - Pokračovat na tento web (nedoporučujeme)...

    DC SRV1 je na W2012R2 s instalovanou CA a IIS, aplikace je na serveru SRV2 s W2012R2.

    Díky moc za pomoc, (uživatelé jsou málo milosrdní:-(

    Josef K.


    pátek 31. května 2019 10:11
  • A kdo ten webserver pouziva? Jen uzivatele z domeny? I uzivatele mimo domenu? Pod jakym nazvem je pristupny (zevnitr/zvenci)?

    Obo bez naprostych zakladu http/https/ssl ti budou nase rady stejne znit klingonsky

    Obecne: v nastaveni IIS si nech interni CA vygenerovat SSL certifikat. Pak ti to v domene bude na nazev serveru fungovat na prvni dobrou.

    MP

    pátek 31. května 2019 10:22
    Moderátor
  • Díky. Jedná se pouze o uživatele v doméně. 

    Který certifikát v IIS (předpokládám na SRV2) vygenerovat - Self-signed, Doménový? Nebo vytvořit Žádost o vystavení? 

    Už jsem prošel moře odkazů, ale funkčního výsledku se mi ještě nepodařilo dosáhnout

    Je mi trapné se takhle ptát... Omlouvám se, doučím se.

    JK

    pátek 31. května 2019 10:32
  • A pokud na web přistupují uživatelé z domény i z internetu, pak potřebuješe udělat následující:

    1. Předpokládám, že AD doména se jmenuje firma.local a internetová doména firma.cz

    2. Pak nechej vystavit certifikát od nějaké obecně důvěryhodné CA na doménové jméno webu, pod kterým je přístupné z internetu (např. firma.cz nebo naseaplikace.firma.cz). Taky můžeš použít wildcard certifikát (*.firma.cz), pokud bude více aplikací pod doménou třetího řádu, nemusíš pak pro každou z nich platit samostaný certifikát.

    3. Nakonfiguruj split DNS. Tedy v lokálním DNS nadefinuj zónu firma.cz a přidej odpovídající A a případně CNAME záznam(y) odkazující se na interní webserver s publikovanou aplikací.

    4. Na ISS nakonfiguruj HTTPS přístup s použitím certifikátu vygenerovaného dle bodu 2.

    5. Uživatelé z internetu i z lokální sítě pak budou na web přistupovat pod stejným doménovým názvem (firma.cz).


    BB

    pátek 31. května 2019 10:33
  • Tak selfsigned asi ne, když máš lokální CA. Zkus doménový nebo můžeš vygenerovat request a ten pak použít při ručním generování certifikátu v lokální CA.

    BB

    pátek 31. května 2019 10:35
  • Internet je plny navodu. Nepatrej sam, najdi si nejaky.

    Jak si postavit vlastni CA:
    https://virtuallythere.blog/2018/04/24/making-things-a-bit-more-secure-part-1/

    Neco o sablonach v CA:
    https://itpro.outsidesys.com/2018/03/21/adcs-manage-pki-certificate-templates/

    Jak nastavit IISko = vydat certifikat valstni autoritou, a nastavit WEB site.
    https://www.petri.com/enable-https-certificate-authority-web-enrollment-windows-server-2008-2012

    A tak by se dalo pokracovat.
    Ale skoro bych doporucil si zaplatit specialistu, ktery to naklika cele za chvili, pripadne priplatit za miniskoleni.

    pondělí 3. června 2019 8:04
  • Díky za odkazy. Už jsem jich přes víkend prostudoval hromadu. Každopádně prozkoumám i ty Tvoje. Myslím, že se pomalounku blížím už k nějakému zdárnému konci.

    Nevím, jestli následují dotaz dát sem nebo do nového vlákna.

    Vytvořím webovou stránku „qq“. Navázaná je na :80. Když dám Spustit web, objeví se hláška

    This Web Site Cannot be Started. Another Web Site May Be Using the Same Port.

    A web se nespustí.

    Když dám netstat –ano|findstr :80

      TCP    0.0.0.0:80             0.0.0.0:0              LISTENING       4

      TCP    172.16.0.41:63558      172.16.8.90:8009       ESTABLISHED     6960

      TCP    [::]:80                [::]:0                 LISTENING       4

    V PS:

    PS C:\Windows\system32> Get-WebBinding | % {

    $name = $_.ItemXPath -replace '(?:.*?)name=''([^'']*)(?:.*)', '$1'

    New-Object psobject -Property @{

    Name = $name

    Binding = $_.bindinginformation.Split(":")[-1]

    }

    } | Group-Object -Property Name |

    Format-Table Name, @{n="Bindings";e={$_.Group.Binding -join "`n"}} -Wrap

    Name                                     Bindings                               

    ----                                     --------                               

    qq                                                                               

     

    K tomu už jsem prostudoval také kdeco.

    Nemůžu přijít, čím by to mohlo být. Zkoušel jsem i další prográmky, a nic.

    Nakonec si začínám myslet, že je to IIS poněkud načaté. Zkoušel jsem na jiných servrech a tam vše funguje, jak má.

    Díky za případnou radu

    Josef K.


    pondělí 3. června 2019 11:56
  • Se mi cim dal vic zda, ze v tomto pripade chybi zakladni osveta. Ze motame spoustu pojmu dohromady. Ze dopsinim zpusobem budeme nekolik dni resit to, co bezny IIS admin resi nekolik minut.

    Abych nebyl jen neprijemny:

    Jak vyrobil stranku, ktera je navazana na port 80 ? Stranku? Neni to Site? nebo Aplikace?

    IISko pouziva pojem WEBsite, ktera je namapovana (bindings) na nejaky port. WEBsite ma nejake fyzicke uloziste, do ktereho davam vlastni obsah - typicky c:\inetpub\wwwroot pro standardni instalaci IIS s Default WEB Site.

    Takze z vyse uvdene chyby mam pocit, ze ti na 80 bezi standardni DEfault Web SIte a ty se snazis jinou Site/apliakci namapovat na ten samy port - iisko se logicky brani.

    Jde to, ale to se dostavame k dalsim pojmum typu HostHeader, SNI atp. A zase se do toho jeste vice zamotame.

    Novy poddotaz je stejny chaos, jako kdyz si v prvnim dotazu motal do sebe pojmy certifikat a certifikacni autorita.

    pondělí 3. června 2019 12:12
  • Dobrý den,

    tak jsem se postupně prostudoval a probojoval ke zdárnému konci.

    Díky za vaše pobídky. Některé věty a výtky mi opravdu moc pomohly.

    Zbývá mi však ještě jeden zádrhel. Nejde se mi na web připojit z Chromu, přestože jsem v GPO přidal certifikát CAutority do Důvěryhodných kořenových. Zkoušel jsem na několika počítačích. Z IE funguje vše hladce.

    Můžete mi prosím poradit?

    Díky

    Josef K.


    pepin-7-7

    sobota 15. června 2019 6:25
  • Google Chrome ve výchozím nastavení používá svoje úložiště certifikátů. Buď jej musíte importovat ještě pro něj, nebo jej nastavit, aby používal certifikáty z Windows. Pro Google Chrome jsou též ke stažení GPO šablony.
    sobota 15. června 2019 7:38
    Vlastník