J3qx

information archive

Настройка CA

Posted by j3qx на Январь 25, 2014

Настройка CA

После установки CA корректируем адрес точки распространения отозванных сертификатов. На данный момент это http://crl.example.ru . Для корректной работы доступ должен быть предоставлен без авторизации и без защиты SSL, то есть строго HTTP, иначе это вызовет рекурсию.

На данный момент настройка CDP настроен следующим образом. Публикация полного CRL – каждые 7 дней, публикация delta crl – каждые 2 дня. На существующем pb-ca-01v (192.168.1.112) отозванные сертификаты выгружаются в папку C:\Windows\System32\certsrv\CertEnroll

Которая расшарена на чтение любой учетной записи домена. Эта папка примонтированна на веб сервере pb-web-01v и доступна с наружи только избранным партнерам

Для резервного копирования CA – нужно только копировать корневой сертификат CA

В случае проблем с CA, в первую очередь нужно обеспечить доступность отозванных сертификатов.

  1. Поднять с бекапа отозванные сертификаты в любую шару. Они бекапяться ежедневно вечером сервером pk-backup-02v. После восстановления файлов, связаться с Гонтаренко, чтобы он настроил веб сервер брать ключи с новой шары.
  2. Проверить дату, когда истекает срок действия списка отозванных сертификатов, чтобы корректно распределить время

  1. Установить новый CA, восстановить сертификат. Резервная копия храниться в E:\Backup-data\CA\2012-09-24 пароль на сертификат в базе паролей. Так же копия рутового сертификата есть на машине tk-ws-01v

Для оперативного резервного копирования можно воспользоваться GUI или командной строкой, пример команды: certutil -backup C:\backup-CA

Группа для управления делегацией управления выдачей/отзыва сертификатов — sg_ca_management_certification

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

 
%d такие блоггеры, как: