CA证书问题请教!最近在客户这里做Exchange2010及RMS项目,对当前Ca证书颁发机构的环境做了下勘察和调研,发现有些地方出现警号显示过期,不知道会不会影响Exchange和Adrms的集成部署,特此求教!

Ca情况如下图:(这个CDP位置过期会不会影响我项目的项目,如果影响,有什么解决方案吗?)

回答: 根据您的描述我了解到您有关于CA的问题需要和我们一起讨论。

根据您提供的信息,我发现CDP位置#1在2013/01/24日会过期。关于CDP位置,它显示的是可以下载最新的CRL的位置。一般它会显示即将过期是因为CRL即将过期,从截图来看,DeltaCRL 位置#1确实是在2013/01/24日会过期。

我们都知道CRL包含的是撤销的证书的信息,如果这个过期的话,会有一些安全隐患,比如说某张证书过期了,由于CRL没有更新,这张证书还会被继续使用,从而有可能造成信息泄露。如果您的Exchange和Adrms会用到即将过期的证书,那么部署可能就会有问题。

为了解决这个问题,请您进行以下操作:您看到的文章来自活动目录seo http://adirectory.blog.com/category/system-network-administration/

  1. 将Root CA启动,使其处于online状态,这样的话,正常情况下CRL会自动更新的。
  2. 如果CRL没有自动更新。如果CRL没有自动更新,也就是说到了2013/01/24 4:04的时候,CDP位置#1和DeltaCRL 位置#1都过期了,我们可以手动将CRL更新。具体操作如下:
    • 在root CA上面运行命令去更新CRL:Certutil –CRL。
    • 这样的话新的CRL会被发布,文件默认保存在:C:\Windows\System32\CertSrv\CertEnroll目录,文件名字类似:RootCaName.Crl。
    • 将此CRL文件复制到issuing CA,也就是您发现问题的这台服务器上的相同目录C:\Windows\System32\CertSrv\CertEnroll。
    • 然后运行以下命令将信息发布到AD:Certutil -dspublish RootCaName.Crl。
    • 然后重启证书服务看问题是否得到解决。

一般情况下我们在企业PKI有三层,root CA, policy CA和issuing CA,root CA配置好之后出于安全的角度,我们是推荐将它offline的。当然您也可以只有两层结构root CA和issuing CA,一层结构root CA(同时也是issuing CA)。以下文档供您参考:

Designing and Implementing a PKI: Part I Design and Planning

http://blogs.technet.com/b/askds/archive/2009/09/01/designing-and-implementing-a-pki-part-i-design-and-planning.aspx

目前我不清楚您的环境中具体部署是什么样的,如果当前这台服务器不是root CA,那么我建议您将root CA服务器启动,我们说的启动指的是将电脑启动使其处于运行状态。
Darlene Li

CA证书过期的更多相关文章

  1. Splunk < 6.3 版本 SSL 证书过期事宜

    最近Splunk发出邮件提醒客户SSL证书过期事宜. 问题看起来比较严重,因为所有的实例,包括 forwarder\peernode\indexer\master node 等等都受影响,而且Depl ...

  2. Web Server CA证书签名步骤和自签名测试,支持多域名

    Web Server支持HTTPS访问需要两个文件,私钥和证书.私钥和证书都放在服务器上,私钥用来加密数据,证书传递给客户端.自己签名的证书在传递给浏览器的时,因为证书不被信任,所以会弹出连接不安全, ...

  3. 02-创建 TLS CA证书及密钥

    创建 TLS CA证书及密钥 kubernetes 系统的各组件需要使用 TLS 证书对通信进行加密,本文档使用 CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate ...

  4. CA证书扫盲,https讲解。

    很多关于CA证书的讲解. 1.什么是CA证书. 看过一些博客,写的比较形象具体. ◇ 普通的介绍信 想必大伙儿都听说过介绍信的例子吧?假设 A 公司的张三先生要到 B 公司去拜访,但是 B 公司的所有 ...

  5. 012_py之证书过期监测及域名使用的py列表的并集差集交集

    一.由于线上域名证书快要过期,需要进行监测,顾写了一个方法用于线上证书过期监测,如下: import ssl,socket,pprint def check_domain_sslexpired(dom ...

  6. Kubeadm安装的K8S集群1年证书过期问题的解决思路

    这个问题,很多使用使用kubeadm的用户都会遇到. 网上也有类似的帖子,从源代码编译这种思路, 在生产环境,有些不现实. 还是使用kubeadm的命令操作,比较自然一点. 当然,自行生成一套证书,也 ...

  7. Linux CA证书与https讲解

    1.什么是CA证书. ◇ 普通的介绍信 想必大伙儿都听说过介绍信的例子吧?假设 A 公司的张三先生要到 B 公司去拜访,但是 B 公司的所有人都不认识他,他咋办捏?常用的办法是带公司开的一张介绍信,在 ...

  8. CA证书和TLS介绍

    数字签名 用自己的私钥给数据加密就叫数字签名 公钥传输威胁 在A和B的通信中,C可以把自己的公钥发给A,让A把C的公钥当成B的公钥,这样的话.B拿到加密数据反而无法解密,而C却可以解密出数据.从而实现 ...

  9. 【传输协议】什么是CA证书

    1.什么是CA证书. 看过一些博客,写的比较形象具体. ◇ 普通的介绍信 想必大伙儿都听说过介绍信的例子吧?假设 A 公司的张三先生要到 B 公司去拜访,但是 B 公司的所有人都不认识他,他咋办捏?常 ...

随机推荐

  1. Flash视频播放器开发经验总结

    HTTP协议更优 目前几乎所有的视频点播网站全部采用HTTP协议传输数据.因为相对于诸如RTMP等协议来说,HTTP协议是无状态的,数据传输完毕就断开连接,这样服务器就可以腾出资源来服务更多的用户.而 ...

  2. Django基础篇之数据库选择及相关操作

    在djanjo框架中我们最常用的框架分别就是mysql和sqlit了,下面我们将分别讲述一下这俩种数据库的基础必备知识 mysql 一.利用命令创建(在终端上执行) 1.首先创建一个project项目 ...

  3. 解决linux中Kipmi0进程对CPU使用率很高问题

    kipmi is supposed to run with low priority. When you say it consumes 70-90% of the CPUs, is that con ...

  4. mysql中data_format用法

    date_format(date,format)可以把日期转换为制定的格式: mysql> select date_format('2008-08-08 22:23:00', '%W %M %Y ...

  5. 百度地图API的使用方法

    百度地图API 开始学习百度地图API最简单的方式是看一个简单的示例.以下代码创建了一个520x340大小的地图区域并以天安门作为地图的中心: 1. <html> 2. <head& ...

  6. Android基础总结(3)——UI界面布局

    Android的UI设计有好几种界面程序编写方式.大体上可分为两大类:一类是利用可视化工具来进行,允许你进行拖拽控件来进行布局:还有一类是编写xml文档来进行布局.这两种方法可以相互转换. 1.常见的 ...

  7. pig命令行快捷键

    删除 ctrl + d 删除光标所在位置上的字符相当于VIM里x或者dl ctrl + h 删除光标所在位置前的字符相当于VIM里hx或者dh ctrl + k 删除光标后面所有字符相当于VIM里d ...

  8. 导入Excel的时候使用TransactionScope事务控制来进行数据

    最近,项目需要将Excel里面的数据导入到数据库里面,但是由于Excel里面的数据的合法性和数据格式的不确定性.所以不可能每读出一条数据,就保存到数据库中. 这就使用到了TransactionScop ...

  9. Vue.js学习 Item13 – 指令系统与自定义指令

    基础 除了内置指令,Vue.js 也允许注册自定义指令.自定义指令提供一种机制将数据的变化映射为 DOM 行为. 可以用 Vue.directive(id, definition) 方法注册一个全局自 ...

  10. BF算法和KMP算法(javascript版本)

    var str="abcbababcbababcbababcabcbaba";//主串 var ts="bcabcbaba";//子串 function BF( ...