none
Вопрос по шифрованию в IIS Exchange RRS feed

  • Вопрос

  • Здравствуйте! Установлен Exchange 2013

    Заметил в настройках IIS метод шифрования SHA1 можно ли и стоит ли сменить его на TripleDES или MDA? хотелось бы повысить безопасность передаваемого трафика

    19 июня 2015 г. 6:51

Ответы

Все ответы

  • Если говорить о реализациях хэш-функций - SHA1 предпочтительнее.

    (TripleDES - это не реализация хэш-функции.)

    19 июня 2015 г. 7:09
  • У меня свой центр сертификации сертификаты сервера и клиентов выданы им цепочки сертификатов прописаны

    Подскажите тогда почему когда я через гугл захожу в owa (входит в перечень имен сертификата) он говорит На этом сайте используется устаревшие параметры безопасности?

    Дальше пишет что используется TLS 1.2, для аутентификации сообщений AES_256_CBS c SHA1, для обмена ключами ECDHE_RSA это правильно?

     

    19 июня 2015 г. 7:21
  • Наверное, потому, что Google желает видеть SHA256.
    19 июня 2015 г. 7:28
  • а шифрование которое у меня это правильно? или надо менять
    19 июня 2015 г. 8:27
  • можно как то сменить шифрование на SHA256 в Exchange?
    19 июня 2015 г. 10:43
  • Поскольку CA "свой" - нужно, чтобы CA выдавал такие сертификаты. Например, вот так:

    http://blogs.technet.com/b/pki/archive/2013/09/19/upgrade-certification-authority-to-sha256.aspx

    19 июня 2015 г. 10:48
  • Просто сделайте так, чтоы Ваш СА умел такие сертификаты выдавать, сделайте новый запрос и выдайте ему новый сертификат. и будет у Вас как хочется.. Но на самом деле это не критично сейчас. Это Хром и в частности Гугл считаю что она устарела эта технология.

    Кстати, у меня SHA256 сертификат и последняя версия Хрома тоже считает устаревшей технологией. теперь в оппозиции и  RSA 

    Зы..  Даже этот сайт зашифрован с помощью устаревшей технологии )))

    и еще очень интересное чтиво - https://www.emaro-ssl.ru/blog/ssl-for-local-domain/  не будут теперь давать сертификаты на локальные домены.





    19 июня 2015 г. 11:30
  • А Вы не подскажите как это настроить на центре сертификации? никогда с таким не сталкивался 
    19 июня 2015 г. 12:49
  • Создал шаблон с sha512 добавил в центр сертификации

    Подскажите а как сделать запрос из exchange 2013 в центр сертификации чтоб воспользоваться именно этим шаблоном

    Через веб доступ нельзя - выдача сертификатов 3 версии не поддерживается через веб.

    Судя по статье http://blogs.technet.com/b/pki/archive/2013/09/19/upgrade-certification-authority-to-sha256.aspx там просто весь центр сертификации переводят на sha256


    • Изменено 1986Foxtime 22 июня 2015 г. 14:40
    22 июня 2015 г. 14:24
  • Так весь и переведите, ничего страшного. Это более полезно.. Только я ж говорю, от такой записи Вам все равно не избавиться. .  А RSA передать не получится просто так.. Там только с переустановкой сервера. 
    23 июня 2015 г. 10:18