• Как выдать удостоверяющие сертификаты в локальной сети для внутренних сервисов в IIS (не self-signed)?

    athacker
    @athacker
    Все сертификаты рутовых УЦ -- самоподписанные. Сюрприз, да? :-) Если на пальцах, то доверие основывается на том, что "ну, это самоподписанный сертификат, но это же уважаемая контора...". Поэтому в ОС и в некоторых браузерах (Firefox, он своим хранилищем пользуется. Хром или IE -- пользуют системные, на винде, по крайней мере) есть хранилище корневых сертификатов удостоверяющих центров, которые (сертификаты) являются доверенными.

    Есть удостоверяющие центры, сертификаты которых подписаны другими удостоверяющими центрами. Но на самом верху цепочки доверия -- всё равно самоподписанные серты.

    Вам нужен свой PKI, это факт. Если нет желания/возможности делать УЦ на базе Microsoft Certification services, возьмите пакет easyrsa, подписывайте сертификаты им.

    По фэншую схема делается так -- создаётся корпоративный root CA (корневой удостоверяющий центр), с самоподписанным сертификатом, на каком-нибудь, например, ноутбуке старом. Потом генерируется ещё один ключ -- для подчинённого УЦ (sub-CA). Этот ключ подписывается сертом вашего root CA (с ноутбука), после чего ноутбук выключается и прячется в сейф. А вот уже с сертом sub-CA вы подписываете все серты для ваших серверов и сервисов. Ключи и CSR должны генерироваться только на тех хостах, где они и будут использоваться. Это если по фэншую. Но если вам просто важен замочек в строке адреса и отсутствие ругани, можно обойтись одним root CA, без sub-CA, а генерить ключи можно тем же самым easy-rsa, перенося потом ключ и серт на необходимые вам сервера с IIS.

    Сертификаты вашего root CA и sub-CA нужно будет установить в хранилища всех ваших десктопных компов, серверов и т. п. А также в хранилища браузеров, если у вас используются браузеры, которые не смотрят в системные хранилища. Это легко делается доменной политикой, но ввиду отсутствия у вас домена -- можно и скриптануть. Использовать certutil, например (если речь про винду, опять-таки).

    А IIS у вас там, Apache или nginx, или другие сервисы, которые умеют в TLS -- это дело десятое, от этого схема генерации и выдачи сертификатов не меняется.
    Ответ написан
    2 комментария
  • Как выдать удостоверяющие сертификаты в локальной сети для внутренних сервисов в IIS (не self-signed)?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Нет понятия "IIS сертификат". Есть SSL-сертификат, который некто создает. Цепочка всегда одна и та же - есть или создается CA, сертификат которого копируется на все машины в хранилище доверенных корневых сертификатов - Вам придется это делать вручную, если бы был домен, это делается политиками.
    После этого создаются запросы на сертификаты и выпускаются сами сертификаты. Вам - только колхозить на OpenSSL для Windows, если бы был домен, можно было бы службу поднять. Это не исключило бы необходимость колхоза, но значительно бы снизило его сложность.
    - должен ли этот сервер иметь свой собственный сертификат для подписи тех, что он выдает другим серверам?

    Да, конечно. Вам - колхозить его руками, при наличии домена он генерится автоматом
    - если его надо сначала будет скопировать на все клиентские машины,

    Надо. Причем не просто так скопировать, а установить в хранилище доверенных корневых сертификатов
    Или я могу использовать любой свой с Let's Encrypt и от него далее по цепочке генерить дочерние?

    Нет. Ни один мировой CA не даст Вам сертификата subCA
    - должен ли PKI сервис быть все время запущен, чтоб с других машин браузеры могли бы запрашивать его на валидность внутренних сертификатов?

    Вообще такая штука есть, OCSP называется, но это не про Вас. Если Вам край как нужна валидность - вставляйте CDP и выкладывайте CRL
    - будет ли выданный PKI сертификат выдан на имя сервера в интранет (например: SERVER001 или SERVER001.local)?

    Как напишете, так и будет.
    Ответ написан
    4 комментария
  • Как выдать удостоверяющие сертификаты в локальной сети для внутренних сервисов в IIS (не self-signed)?

    mindtester
    @mindtester Куратор тега Windows
    http://iczin.su/hexagram_48
    Идеально было бы при установки сервиса в IIS установщик запросит (выдаст, сгенерит? ) новый сертификат (если такого еще не установлено в IIS), который будет trusted для остальных машин в локальной сети без копирования это сертификата на все машины.
    супер простого решения не существует

    другой вопрос, что тиражирование сертификата можно скриптовать. хотя в домене это все было бы проще и безопаснее.

    можно поднять автономный сертификат-сервер. но его открытый ключ, все равно надо внести в число доверенный удостоверяющих цетров, на каждом клиентском компе. те же я.. шары в профиль - скрипты. и опять проще и надежнее в домене

    ps
    Если это так, то:
    - должен ли этот сервер иметь свой собственный сертификат для подписи тех, что он выдает другим серверам?

    да. и пусть не будет сюрпризом - так же ка IIS, он сам себе самоподпиську генерирует. если конечно вы не закупите подпись для него у MS, VeriSign, etc..

    принцип то один - если цепочка удостоверителей не доходит до списка корневых доверенных центров (которые в современных ОСях являются частью дистрибута, и обновляются с прочими патчами системы)* - то все остальное самоподписка

    * - или те самые добавления ручками. от которых вы хотите сбежать
    Ответ написан
    1 комментарий
  • Как правильно перенести систему esxi 6.0 с USB на HDD?

    Если по настройкам ничего специфического нет - не морочьтесь над переносом с USB диска на HDD.

    1. Перенесите все VM с первого диска на второй (можно банальным копированием каталогов)
    2. Загрузитесь с установочной флешки и установите на "первый диск" чистую, обновленную систему (она сама заберет себе, сколько нужно. Остальное останется под datastore).
    3. Можете вернуть на свое место вынесенные на второй диск виртуалки.
    Ответ написан
    Комментировать
  • В каком приложении и как лучше рисовать и структурировать приложения в корпоративной сети?

    leahch
    @leahch
    3D специалист. Dолго, Dорого, Dерьмово.
    Проще всего наверное в wiki (twiki или redmine например) держать карточки серверов. До кучи прикрутить к нему www.graphviz.org
    вот например очень хорошая статья - cumulusnetworks.com/blog/complex-topology-and-wiri... и вот itsecworks.com/2012/03/16/networking-topology-with...
    Желательно учитывать, что нужно несколько картинок делать с разной степенью детальности и разными уровнями - физическим, логическим, сетевым, коммутационным и т.д.

    До кучи - blog.zabbix.com/maps-for-the-lazy/2898
    Ответ написан
    Комментировать
  • Как подсоединить аллюминевую гофру к проектору для вытяжки/охлаждения?

    Jump
    @Jump
    Системный администратор со стажем.
    Аккуратно заклеить район вытяжки малярным скотчем.
    Взять пачку пластилина и вылепить патрубок.
    Охладить конструкцию чтобы пластилин не таял.
    Покрыть пластилиновую болванку слоями стеклоткани(марли, тряпки) на эпоксидке.
    Дождаться отверждения.
    Удалить пластилин.
    Обработать напильником.
    В процессе работы предусмотреть крепление патрубка к корпусу - площадки для саморезов, уши для крепления к корпусу проектора пластиковыми стяжками, и.т.д.
    Гофру к патрубку приклеить, или просто одеть и стянуть хомутом.
    Если гофру планируется крепить хомутом, то предусмотреть усиление в районе где будет затягиваться хомут, например внедрив туда в процессе вклеивания металлическое кольцо отрезанное от трубы подходящего диаметра.
    Получившийся патрубок должен повторять геометрию корпуса проектора и за счет этого плотно к нему прилегать и иметь нужные крепления.
    Не возбраняется покрасить его после изготовления в цвет аналогичный проектору.
    Ответ написан
    Комментировать
  • Как подсоединить аллюминевую гофру к проектору для вытяжки/охлаждения?

    bobrovskyserg
    @bobrovskyserg
    Если на гофре есть манжета и корпус стальной - магниты рулят.
    Ответ написан
    1 комментарий
  • Какое необходимо железо для удаленного выключение/включение роутера после его зависания?

    eapeap
    @eapeap
    Сисадмин, Беларусь
    Сталкивался - роутеры глючат из-за перегрева.
    Варианты решения:
    1. Просто вскрыть корпус и оставить работать так
    2. Приклеить радиатор на чип
    3. Насверлить дырок в корпусе, закрепить вентилятор.
    И опять же типичная причина - дутые или высохшие электролиты. Поменяй для профилактики.
    Ответ написан
    1 комментарий
  • Какое необходимо железо для удаленного выключение/включение роутера после его зависания?

    Jump
    @Jump
    Системный администратор со стажем.
    Самое лучшее в этой ситуации - поменять роутер на исправный.
    Еще лучше поменять на роутер имеющий Watchdog для профилактики подобных проблем.

    Можно конечно найти решение и для вашего роутера, их множество, но надо понимать что цена этих решений как минимум в несколько раз превышает цену среднестатического SOHO роутера.
    Ответ написан
    1 комментарий
  • Какое необходимо железо для удаленного выключение/включение роутера после его зависания?

    zmeyjr
    @zmeyjr
    Дисклеймер в профиле.
    На хабре была статья про это www.netping.ru/products/upravljaemye-rozetki-ip-pdu
    Ответ написан
    Комментировать