CA证书过期
CA证书问题请教!最近在客户这里做Exchange2010及RMS项目,对当前Ca证书颁发机构的环境做了下勘察和调研,发现有些地方出现警号显示过期,不知道会不会影响Exchange和Adrms的集成部署,特此求教!
Ca情况如下图:(这个CDP位置过期会不会影响我项目的项目,如果影响,有什么解决方案吗?)
回答: 根据您的描述我了解到您有关于CA的问题需要和我们一起讨论。
根据您提供的信息,我发现CDP位置#1在2013/01/24日会过期。关于CDP位置,它显示的是可以下载最新的CRL的位置。一般它会显示即将过期是因为CRL即将过期,从截图来看,DeltaCRL 位置#1确实是在2013/01/24日会过期。
我们都知道CRL包含的是撤销的证书的信息,如果这个过期的话,会有一些安全隐患,比如说某张证书过期了,由于CRL没有更新,这张证书还会被继续使用,从而有可能造成信息泄露。如果您的Exchange和Adrms会用到即将过期的证书,那么部署可能就会有问题。
为了解决这个问题,请您进行以下操作:您看到的文章来自活动目录seo http://adirectory.blog.com/category/system-network-administration/
- 将Root CA启动,使其处于online状态,这样的话,正常情况下CRL会自动更新的。
- 如果CRL没有自动更新。如果CRL没有自动更新,也就是说到了2013/01/24 4:04的时候,CDP位置#1和DeltaCRL 位置#1都过期了,我们可以手动将CRL更新。具体操作如下:
- 在root CA上面运行命令去更新CRL:Certutil –CRL。
- 这样的话新的CRL会被发布,文件默认保存在:C:\Windows\System32\CertSrv\CertEnroll目录,文件名字类似:RootCaName.Crl。
- 将此CRL文件复制到issuing CA,也就是您发现问题的这台服务器上的相同目录C:\Windows\System32\CertSrv\CertEnroll。
- 然后运行以下命令将信息发布到AD:Certutil -dspublish RootCaName.Crl。
- 然后重启证书服务看问题是否得到解决。
一般情况下我们在企业PKI有三层,root CA, policy CA和issuing CA,root CA配置好之后出于安全的角度,我们是推荐将它offline的。当然您也可以只有两层结构root CA和issuing CA,一层结构root CA(同时也是issuing CA)。以下文档供您参考:
Designing and Implementing a PKI: Part I Design and Planning
目前我不清楚您的环境中具体部署是什么样的,如果当前这台服务器不是root CA,那么我建议您将root CA服务器启动,我们说的启动指的是将电脑启动使其处于运行状态。
Darlene Li
CA证书过期的更多相关文章
- Splunk < 6.3 版本 SSL 证书过期事宜
最近Splunk发出邮件提醒客户SSL证书过期事宜. 问题看起来比较严重,因为所有的实例,包括 forwarder\peernode\indexer\master node 等等都受影响,而且Depl ...
- Web Server CA证书签名步骤和自签名测试,支持多域名
Web Server支持HTTPS访问需要两个文件,私钥和证书.私钥和证书都放在服务器上,私钥用来加密数据,证书传递给客户端.自己签名的证书在传递给浏览器的时,因为证书不被信任,所以会弹出连接不安全, ...
- 02-创建 TLS CA证书及密钥
创建 TLS CA证书及密钥 kubernetes 系统的各组件需要使用 TLS 证书对通信进行加密,本文档使用 CloudFlare 的 PKI 工具集 cfssl 来生成 Certificate ...
- CA证书扫盲,https讲解。
很多关于CA证书的讲解. 1.什么是CA证书. 看过一些博客,写的比较形象具体. ◇ 普通的介绍信 想必大伙儿都听说过介绍信的例子吧?假设 A 公司的张三先生要到 B 公司去拜访,但是 B 公司的所有 ...
- 012_py之证书过期监测及域名使用的py列表的并集差集交集
一.由于线上域名证书快要过期,需要进行监测,顾写了一个方法用于线上证书过期监测,如下: import ssl,socket,pprint def check_domain_sslexpired(dom ...
- Kubeadm安装的K8S集群1年证书过期问题的解决思路
这个问题,很多使用使用kubeadm的用户都会遇到. 网上也有类似的帖子,从源代码编译这种思路, 在生产环境,有些不现实. 还是使用kubeadm的命令操作,比较自然一点. 当然,自行生成一套证书,也 ...
- Linux CA证书与https讲解
1.什么是CA证书. ◇ 普通的介绍信 想必大伙儿都听说过介绍信的例子吧?假设 A 公司的张三先生要到 B 公司去拜访,但是 B 公司的所有人都不认识他,他咋办捏?常用的办法是带公司开的一张介绍信,在 ...
- CA证书和TLS介绍
数字签名 用自己的私钥给数据加密就叫数字签名 公钥传输威胁 在A和B的通信中,C可以把自己的公钥发给A,让A把C的公钥当成B的公钥,这样的话.B拿到加密数据反而无法解密,而C却可以解密出数据.从而实现 ...
- 【传输协议】什么是CA证书
1.什么是CA证书. 看过一些博客,写的比较形象具体. ◇ 普通的介绍信 想必大伙儿都听说过介绍信的例子吧?假设 A 公司的张三先生要到 B 公司去拜访,但是 B 公司的所有人都不认识他,他咋办捏?常 ...
随机推荐
- git 仓库操作
一.git 仓库从远程clone 首先要建立一个本地空目录文件比如 RuntimeJsonModel,然后: 1. git init 2. git clone https://github.com/G ...
- Unity AssetBundles and Resources指引 (三) AssetBundle基础
本文内容主要翻译自下面这篇文章 https://unity3d.com/cn/learn/tutorials/topics/best-practices/guide-assetbundles-and- ...
- Virtualenv介绍
[翻译]http://virtualenv.readthedocs.org/en/latest/index.html virtualenv是创建独立python环境的一种工具. 环境搭建的过程中,有一 ...
- phonegap ios默认启动页
phonegap创建的项目默认的启动界面是phonegap的图标,想去掉这个图标,有两个方法,第一就是将resourece下面的splash文件下面的图片改成自己想要的启动页面,名字要相同,替换掉它默 ...
- PHP实现物流查询(通过快递网API实现)
物流查询实现 引 言:目前快递公司太多了,不可能一个一个去申请api查询.这个时候,就可以通过合作,找一些中间商合作.我试了两家,一家是快递100,一家是快递网. 他们都需要申请key.但是快递100 ...
- Secure your iPhone with 6 digit passcode by upgrading to iOS9
IP-Box could crack 4 digit passcode, what about 6 digit passcode??? All you need to do is to upgrade ...
- EnCase v.s. FTK - find out Chinese characters writing in different direction
A friend of mine said to me that she could fool those forensic tools easily by changing writing dire ...
- iOS播放动态GIF图片
<转> 图片分为静态和动态两种,图片的格式有很多种,在开发中比较常见的是.png和.jpg的静态图片,但有的时候在App中需要播放动态图片,比如.gif格式的小表情头像,在IOS中并没有提 ...
- 蘑菇街iOS客户端应用源码
蘑菇街iOS客户端应用源码 随着蘑菇街由导购向电商转型,蘑菇街自己的IM也应运而生,IM起初只是用于商家和买家之间沟通的工具.后面我们问自己,既然已经有了用于客服的IM,为什么不自己做一个IM,用于公 ...
- Widnows批处理异地备份数据
@echo off@title Mysql+fileBckupset files=D:\backup\%date:~0,10%.rarset userdb="root"set pw ...