Как выпустить единый сертификат с помощью ADCS для всех коммутаторов или другого оборудования?

Как выпустить единый сертификат с помощью ADCS для всех коммутаторов или другого оборудования?
Подскажите куда рыть.
Дано:
Множество оборудования к которому хотелось бы подключаться по шифрованному каналу, но при этом добавлять каждую железку в AD CS займет слишком много времени.
Подскажите, может есть способ выпустить один сертификат, а потом его уже распространить?
  • Вопрос задан
  • 129 просмотров
Пригласить эксперта
Ответы на вопрос 3
SignFinder
@SignFinder
Wintel\Unix Engineer
1. Создать подзону в DNS - например nethw.%companydomain.local%.
2. Создать в ней DNS записи для каждого устройства, чтобы обращаться и ним по DNS имени.
3. Выпустить wilcard сертификат для *.nethw.companydomain.local
4. Добавить его на все устройства.
Ответ написан
CityCat4
@CityCat4 Куратор тега Цифровые сертификаты
Если я чешу в затылке - не беда!
Никак. И незачем.

Сертификаты - не нубская тема и никогда ею не будет. Любая железка умеет самоподписанный генерить - нафиг не нужно на нее ставить генереный - это только гемору добавляет и свитч повесить может. Да и процедура установки сертификата на разные свитчи сииильно друг от друга отличается.

Ставить генереные сертификаты - это разве что от желаения ходить на железки по красивому имени "switch1-1-1.zhopa.ruchka", а не по адресу - в противном случае смысла нет. А для красоты - все свитчи сначала в DNS нужно занести, поддерживать его. Да, этим можно заняться, если нечем больше
Ответ написан
@zvl
Чтобы не заморачиваться с ADCS, можно воспользоваться XCA.
Сгенеренный корневой сертификат XCA импортнуть в корневое хранилище домена выполнив команду от имени администратора домена на любом компьюере участнике домена:
certutil -f -dspublish "DOMAIN ROOT CA.crt" RootCA
И как писали выше, чтобы не засорять домен можно выделить отдельную dns зону для сетевых устройств. Новый домен включить в днс суффиксы сетевого интерфейса политиками домена.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы