Задать вопрос
@Daniil_sysadmin

Объясните, можно ли выпустить еще сертификаты на подобии CA или продлить существующий на MikroTik для SSTP?

Привет, я не знаю принципа работы сертификатов досконально, только приблизительно, от того у меня вопрос, маршрутизатор MikroTik нужен работающий SSTP по сертификату, на маршрутизаторе выпустил сертификат CA с флагом KLAT, сертификат Server с флагом KAT, дата действия CA 365 дней, а Server 3650 дней, скоро подходит к концу сертификат CA, можно ли его продлить, как? если нет, то как выпустить новый сертификат не дожидаясь окончания первого и чтоб второй уже можно было импортировать на клиентские тачки ?

P.S. Прошу камнями не кидаться, если есть статья о объяснении принципа работы Корневых и Клиентских сертификатов прошу приложить, толкового еще ничего не встретил на просторах интернета
  • Вопрос задан
  • 280 просмотров
Подписаться 1 Средний 1 комментарий
Пригласить эксперта
Ответы на вопрос 2
@dronmaxman
VoIP Administrator
дата действия CA 365 дней

знатно промахнулся) лет на 20 стоило выпускать. Как только он заканчивается, то все сертификаты которые он подписал стают не валидны.

По хорошему надо все переделать с нуля.

Если нужен как-то промежуточный этап, то можна сделать кросс подпись. Выпускаем новый сертификат CA со сроком жизни 20 лет, и выпустить новый сертификат для sstp но подписать его зразу двумя сертификатами CA - это кросс подпись. Это даст тебе время обновить CA на клиентах, т.к. этому сертификату sstp будут доверять клиенты и с новим и со старым CA.
Ответ написан
CityCat4
@CityCat4 Куратор тега VPN
//COPY01 EXEC PGM=IEBGENER
выпустил сертификат CA с флагом KLAT, сертификат Server с флагом KAT, дата действия CA 365 дней, а Server 3650 дней

Ничего не перепутали? Обычно у СА срок действия 5 - 10 - 20 лет, а у обычного - год.
с флагом KLAT, сертификат Server с флагом KAT,

Это не один флаг, а набор флагов. K - есть ключ к сертификату, L - есть CRL, T - доверенный. А - не знаю, что, возможно, что CA на микротике.

Если точно ничего не перепутали, лучше заново выпустить сертификат CA и заново сертификат сервера, потому что как только кончится сертификат CA - все сертификаты, выпущенные им, станут недействительны (однажды столкнулся, #опа еще та была)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы