נעילת מפתח CA

S

stu23

New member
נעילת מפתח CA

למה כשאני מתקין CA אני לא יכול לסמן אותו כnon-exportable - אין אופציה כזו גם באפשרויות מתקדמות אם אני מבצע enrollment אפשר להגיד שזה לא יהיה - וכך לשים ת זה על גבי כרטיס חכם אני רוצה להתקין את הCA שלי כך שההמפתחות שלי יהיו ע"ג הHSM הספק של הHSM שלי אמר שזה מגבלה של MS. האם זה נכון? הם מציעים לי אפליקצייה לנעול את המפתח - אין אופציה לייצר אותו נעול???
 
A

antidot

New member
---->

Exportable Syntax Exportable = {Boolean} Values: TRUE or FALSE Default value: FALSE Sample: Exportable = TRUE Supported with CA type: Windows 2000 Windows Server 2003 Can be manipulated in a pending request: No This parameter is ignored when the “UseExistingKeySet” key is set to TRUE because you can set the exportable flag only when a new key is created. You cannot change this flag for an existing key. If this attribute is set to TRUE, the private key can be exported with the certificate. To ensure a high level of security, private keys should not be exportable; however, in some cases, it might be required to make the private key exportable if several computers or users must share the same private key. For example, a Web server that runs SSL and is published with Internet Security and Acceleration (ISA) to the Internet requires a certificate with an exportable key because the certificate and key must be installed on the Web server and the ISA server as well. Also, if it is required that the keys be managed and backed up, they must be exportable to provide for this functionality. This setting correlates with the template configuration if a Windows Server 2003 enterprise CA is used. A certificate template administrator can explicitly define if private keys should be exportable. Note: The template setting for exportable has no affect on the exportability properties of a key generated through certreq.exe -new.​
Advanced Certificate Enrollment and Management
 
S

stu23

New member
לא הבנת אותי (או שלא הסברתי...)

הקטע מדבר על בקשה לCERT מהCA בנוסף ישנם אזכורים על מניפולציה על בקשות שהם pending לאישור או כל מיני templates לסרטיפיקטים שהוא מנפיק. אני מדבר על המפתח של הCA עצמו. אני רוצה שהוא ייווצר נעול. השאלה היא - האם אתה מכיר איך לעשות זאת? אמנם אני לא תוכניתן אבל האם אפשרי לכתוב קוד שייצור את המפתח של הCA כאשר הוא במצב שלnon exportable ? תודה רבה.
 
A

antidot

New member
---->

למיטב זיכרוני כן אפשר, אבל לא דרך GUI. אתה תצטרך להתקין CA ב unattended mode עם קובץ קונפיגורציה בפורמט ini. די דומה לפורמט של cert רגיל, רק שצריך לציין שדות הייחודיים לCA כגון key usage וכו'. יש לזה דוגמא בwhite paper של פריסת PEAP עבור wireless כאן: http://www.microsoft.com/technet/security/topics/cryptographyetc/peap_4.mspx במסמך הם מפנים לסקריפטים, כך שכדאי לך לעבור על התאוריה ולהוריד את כל הsolution מכאן: http://www.microsoft.com/downloads/details.aspx?FamilyID=60C5D0A1-9820-480E-AA38-63485ECA8B9B&displaylang=en
 
You must log in or register to reply here.

Copyright©1996-2021,Tapuz Media Ltd. Forum software by XenForo® © 2010-2020 XenForo Ltd.

למעלה