hvostat: Jeeslaya (Default)
В связи с тем, что SHA-1 теперь "всё", то требуется провести апгрейд центра сертификации.

Есть два варианта:
1) Смена корневого сертификата
2) Перенастройка дефолтного криптоалгоритма

Второй вариант реализуется следующим образом:
1) Вваливаемся в командную строку.
2) Вбиваем следующее:
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
3) Перезапускаем CA:
net stop certsvc
net start certsvc

PS: А переходить, видимо, надо сразу на SHA-3

__
hvostat: Jeeslaya (Default)
Задача: получить данные по изданным сертификатам в CA.

Решение:
1) Скачать специальный PowerShell модуль отсюда.
3) Установить.
4) Импортировать модуль:
Import-Module PSPKI
5) Заполучить список интересующих сертификатов, например, вот так:
Get-CA | Get-IssuedRequest | Where-Object CertificateTemplate -eq "Secret Template" |Sort-Object NotAfter | ft CommonName, NotAfter

__
hvostat: Jeeslaya (Default)
Задача: настроить CA, сгенерировать запрос в CA, заполучить сертификат от CA и установить его.

0) Копируем CA-сертификат.
1.1) Забираем сертификат с FTP:
file copy ftp://ftp-хвостат.com/blackcat-ca.cer blackcat-ca.cer

1.2) Копируем прямо из консоли:
start shell
cd /tmp
vi blackcat-ca.cer
Нажимаем Insert и вставляем содержимое файла с сертификатом в формате Base64
Нажимаем ESC
:w
Нажимаем ESC еще раз
:x
cli

2) Вваливаемся в CLI и редактируем конфиг:
edit
3) Создаём профиль CA и указываем, откуда забирать CRL с частотой раз в 48 часов:
set security pki ca-profile blackcat ca-identity hvostat-BLACKCAT-CA revocation-check crl refresh-interval 48 url http://www.хвостат.com/certcrl.crl
4) Указываем интервал времени развёртывания сертификата в 30 секунд:
set security pki ca-profile blackcat enrollment retry 30
5) Указываем интервал времени повторных попыток развёртывания сертификата в 2400 секунд:
set security pki ca-profile blackcat enrollment retry-interval 2400
6) Да, мы всё это серьёзно:
commit
6) Назначаем CA-сертификат на профиль CA:
request security pki ca-certificate load ca-profile BlackCat-CA filename /tmp/blackcat-ca.crt

Выписываем сертификат для HTTPS:
0) Выходим из режима редактирования конфига
1) Генерируем пару открытый-закрытый ключ длиной 2048 бит:
request security pki generate-key-pair certificate-id https-cert size 2048
2) Генерируем запрос в CA:
request security pki generate-certificate-request certificate-id https-cert subject "CN=SRX-07.хвостат.com,OU=IT,O=LongTail LLC,L=Moscow,ST=Moscow,C=RU" domain-name srx-07.хвостат.com digest sha-256
8) Полученный блок запроса в формате Base64 отправляем в CA и забираем оттуда готовый сертификат и записываем его на FTP.
9.1) Забираем сертификат с FTP:
file copy ftp://ftp-хвостат.com/certnew.cer certnew.cer

9.2) Копируем прямо из консоли:
start shell
cd /tmp
vi certnew.cer
Нажимаем Insert и вставляем содержимое файла с сертификатом в формате Base64
Нажимаем ESC
:w
Нажимаем ESC еще раз
:x
cli

10) Загружаем сертификат в криптохранилище:
request security pki local-certificate load certificate-id https-cert filename certnew.cer
11) Редактируем конфиг:
edit
12) Назначаем сертификат, например на https-web-management:
set system services web-management https pki-local-certificate https-cert
13) Да, мы всё это серьёзно:
commit
14) ???
15) Profit!

_
hvostat: Jeeslaya (Default)
1. Создаём пару ключей:
request security pki generate-key-pair size 2048 certificate-id webaccess

2. Создаём сертификат:
request security pki local-certificate generate-self-signed certificate-id webaccess email hvostat@hvostat.com domain-name hvostat.local ip-address 192.168.320.410 subject "CN=SRX-77.hvostat.local,OU=IT,O=LongTail LLC,L=Russia,ST=Moscow,C=RU"

3. Назначаем сертификат на HTTPS:
edit
set system services web-management https pki-local-certificate webaccess

4.???
5. Profit!

_
hvostat: Jeeslaya (Default)
Поломать Root CA ранним утром в понедельник - это %уёво.

По возможности, старайтесь избегайте этого. ©

Profile

hvostat: Jeeslaya (Default)
hvostat

June 2017

S M T W T F S
    123
45678910
11121314151617
181920212223 24
252627282930 

Syndicate

RSS Atom

Style Credit

Expand Cut Tags

No cut tags
Page generated 21 September 2017 17:49
Powered by Dreamwidth Studios