none
Обновление корневого сертификата ЦС, Wiindows Server 2008 R2 RRS feed

  • Вопрос

  • Добрый день, коллеги!

    Подходит время корневого сертификата центра сертификации, нужно продлять. Со службой сертификатов работать доводилось, но вот обновлять корневой сертификат - нет. Сейчас самое главное чтобы не было прерываний в работе сервисов у пользователей, поэтому обновлять буду с прежним ключом. Вопрос собственно в том как это сделать - обновить сертификат с прежним ключом, доменной политикой сертификат распространить на доменные компьютеры, а дальше у меня начинается затык - список отозванных сертификатов, точки распространения, нужно ли с ним что-то делать, где-то что-то прописывать, менять? Подскажите пожалуйста.

    17 августа 2017 г. 3:40

Ответы

  • Новый ЦС не нужен. Обновляйте существующий сертификат ЦС и распространяйте его по хранилищам корневых доверенных сертификатов (через AD, через GPO, вручную - так, как у вас сейчас делается с существующим). Параллельно можете выпускать новые сертификаты взамен выпущенных, с продлённым сроком действия. Т.к. ключ вы не меняете, то клиенты (по крайней мере, под Windows XP/2K3 и выше) будут доверять новым сертификатам, даже если у них не будет нового сертификата ЦС в хранилище корневых доверенных: т.к. ссылка на подписывающий ЦС по умолчанию идёт по отпечатку ключа, а он не меняется, то они при построении цепочки доверия могут использовать существующий сертификат ЦС, пока он не устарел.

    Списки отзыва для сертификатов, подписанных существующим сертификатом ЦС, будут создаваться и публиковаться при обычной процедуре создания списков отзыва, наряду со списками для нового сертификата. Елинственно, если вы публикуете их где-то (например, на веб-сайте для внешнего доступа) вручную, то посмотрите и если надо - копируйте файлы списков доступа с новыми именами.

    А вообще я бы на вашем месте, раз уж вы всё равно обновляете сертификат ЦС с тем же ключом, перед нынешним обновлением увеличил бы время жизни сертификата ЦС лет, эдак до 20, чтобы больше его заменой не заморачиваться.


    Слава России!

    • Помечено в качестве ответа Alexander Dekhnik 18 августа 2017 г. 5:44
    17 августа 2017 г. 9:54
  • Да, речь идёт именно о CDP (или AIA для OCSP и возможности загрузки сертификата ЦС). Там и надо смотреть, где что публикуется.

    По умолчанию всё это публикуется в AD и на самом сервере в папке, доступ в которую из внутренней сети обеспечивает IIS по HTTP. Работает это без вмешательства админа (ему нужно только публикацию в консоли CA запускать, разве что) и для работы во внутренней сети этого достаточно.

    Внешние пользователи, вообще-то, должны иметь возможность проверять списки отзыва - если у них на клиентах эта проверка не отключена, конечно, что тоже делается иногда. Т.е. в идеале эти списки должны быть размещены на доступном извне веб-сайте. И копироваться они туда могут, к примеру, отдельным скриптом, на который в таком случае надо обратить внимание. Но т.к. списки отзыва кэшируются на клиенте, то если пользователь работает попеременно на ноутбуке из дома и из офиса, то достаточно, чтобы он появлялся в офисе и забирал новый список до истечения времени действия старого - хотя интервал перекрытия времени действия там маловат (дня четыре, насколько я помню), и в таком режиме лучше его увеличить для надёжности.

    Короче, смотрите как у вас там настроено и думайте.


    Слава России!

    • Помечено в качестве ответа Alexander Dekhnik 18 августа 2017 г. 5:44
    17 августа 2017 г. 11:42

Все ответы

  • После истечения срока действия корневого сертификата все выпущенные сертификаты станут недействительными. Впрочем сам ЦС не может выпустить сертификат со сроком превышающим срок корневого сертификата.


    Поднимайте новый Ent root CA рядом и постепенно заменяйте сертификаты от "старого" CA.
    17 августа 2017 г. 5:50
    Отвечающий
  • Не понял, а зачем новый root CA если у меня уже есть и срок действия сертификата еще не истек, при том что он уже продлялся дважды моим предшественником. в чем трудность?
    17 августа 2017 г. 5:56
  • Новый ЦС не нужен. Обновляйте существующий сертификат ЦС и распространяйте его по хранилищам корневых доверенных сертификатов (через AD, через GPO, вручную - так, как у вас сейчас делается с существующим). Параллельно можете выпускать новые сертификаты взамен выпущенных, с продлённым сроком действия. Т.к. ключ вы не меняете, то клиенты (по крайней мере, под Windows XP/2K3 и выше) будут доверять новым сертификатам, даже если у них не будет нового сертификата ЦС в хранилище корневых доверенных: т.к. ссылка на подписывающий ЦС по умолчанию идёт по отпечатку ключа, а он не меняется, то они при построении цепочки доверия могут использовать существующий сертификат ЦС, пока он не устарел.

    Списки отзыва для сертификатов, подписанных существующим сертификатом ЦС, будут создаваться и публиковаться при обычной процедуре создания списков отзыва, наряду со списками для нового сертификата. Елинственно, если вы публикуете их где-то (например, на веб-сайте для внешнего доступа) вручную, то посмотрите и если надо - копируйте файлы списков доступа с новыми именами.

    А вообще я бы на вашем месте, раз уж вы всё равно обновляете сертификат ЦС с тем же ключом, перед нынешним обновлением увеличил бы время жизни сертификата ЦС лет, эдак до 20, чтобы больше его заменой не заморачиваться.


    Слава России!

    • Помечено в качестве ответа Alexander Dekhnik 18 августа 2017 г. 5:44
    17 августа 2017 г. 9:54
  • А подскажите как проверить публикуются ли где-то списки? Я правильно понял что речь не о CDP и AIA в настройках самого ЦС?

    Сертификат ЦС распространяется в домене через групповую политику, а внешним пользователям на личные ноуты/пк сертификат устанавливается вручную, для внешнего доступа используется RDweb это если коротко об инфраструктуре, так что я не соображу где что может публиковаться.

    17 августа 2017 г. 10:48
  • Да, речь идёт именно о CDP (или AIA для OCSP и возможности загрузки сертификата ЦС). Там и надо смотреть, где что публикуется.

    По умолчанию всё это публикуется в AD и на самом сервере в папке, доступ в которую из внутренней сети обеспечивает IIS по HTTP. Работает это без вмешательства админа (ему нужно только публикацию в консоли CA запускать, разве что) и для работы во внутренней сети этого достаточно.

    Внешние пользователи, вообще-то, должны иметь возможность проверять списки отзыва - если у них на клиентах эта проверка не отключена, конечно, что тоже делается иногда. Т.е. в идеале эти списки должны быть размещены на доступном извне веб-сайте. И копироваться они туда могут, к примеру, отдельным скриптом, на который в таком случае надо обратить внимание. Но т.к. списки отзыва кэшируются на клиенте, то если пользователь работает попеременно на ноутбуке из дома и из офиса, то достаточно, чтобы он появлялся в офисе и забирал новый список до истечения времени действия старого - хотя интервал перекрытия времени действия там маловат (дня четыре, насколько я помню), и в таком режиме лучше его увеличить для надёжности.

    Короче, смотрите как у вас там настроено и думайте.


    Слава России!

    • Помечено в качестве ответа Alexander Dekhnik 18 августа 2017 г. 5:44
    17 августа 2017 г. 11:42
  • Ок, спасибо за консультацию, буду пробовать.
    18 августа 2017 г. 5:44