Windows Server проверяет OCSP и сертификаты с помощью PKIVIEW и CERTUTIL

Windows Server проверяет OCSP и сертификаты с помощью PKIVIEW и CERTUTIL

  Windows Server 2016 и предыдущие версии дали пользователям возможность настроить собственный центр сертификации, а также предоставили роль / службу проверки сертификатов. Это видео показывает, как использовать pkiview.msc и certutil.exe, чтобы проверить, работает ли служба OCSP вашей корпоративной или локальной сети, и все сертификаты в порядке. Это видео также показывает, что Windows Server можно использовать для серверов и клиентов, используя самозаверяющие сертификаты, без необходимости приобретения сертификатов. Да, покупка сертификата делает задачу проще и менее ограничительной, но этот метод тоже хорош! Предыдущие видеоролики, которые были упомянуты в видео: https://youtu.be/lWZIHoAwu2c and https://youtu.be/uMtJgN0prME

Пожалуйста, посмотрите это видео, чтобы увидеть, как сделать выше (для перевода, нажмите на поле субтитров в видео на YouTube, а затем нажмите кнопку настройки и язык, как на этом снимке):

subtitles

  Транскрипт (машина сгенерирована, поэтому содержит ошибки)   Привет всем, привет, очень хороший день для вас в этом видео, мы в основном покажем вам, как на самом деле проверить, плохо ли ваш ответчик OCSP работает над тем, как вы основаны на сертификатах сакэ, которые вы создаете в вашей системе CA, - это все в порядке. Мы акриловые видеоролики некоторое время назад показывают взвешивание того, как использовать свой собственный ЦС и генерировать самоподписанные сертификаты, и так далее, не покупая сертификаты на улице и не используя их внутренне с нейронной локальной сетью в вашей корпоративной среде. Хорошо, давайте начнем с самых оснований в руке в описании. Вы должны увидеть ссылки на наши предыдущие два видеоролика, где мы создали нашу корневую систему ЦС, а затем создали сертификаты, а также у нас есть VPN, поэтому первое, что нужно сделать, это посмотреть на представление PKI, где вы видите очень простое представление PKI. Если вы произнесете это правильно. MSc и они приведут его, а затем вы откроете это, а затем, как видите, все, что у нас есть, это то, что мы создали ранее, и наши сертификаты в порядке, если вы хотите, можете посмотреть на них , Есть все счастливые места в OCSP, которые работают нормально, все, что вам нужно, - это все, что вам нужно сделать, - это все, что вам нужно сделать, это перейти сюда, а затем ввести вид выполнения, а затем добавить в ваш сертификат случай. Таким образом, в основном, сертификаты и учетная запись компьютера заканчивают Kerry, вы увидите, что у нас есть наши сертификаты VPN. Хорошо, мы можем выбрать любой из них. Аутентификация сервера. Например, и будет строго командовать и все задачи экспортировать со всем экспортом в неделю. С закрытым ключом или без закрытого ключа. В этом случае просто обойтись без секретного ключа очень просто, прямо здесь, в качестве духа, и очень просто дать ему любое имя, которое вы хотите, даст ему crt. Ничего особенного, сохраните его на рабочем столе, это прекрасная штука. Экспорт был успешным. Что мы будем делать, и почему мы сначала на рабочем столе, и мы привели его на диск C, просто для простоты, вместо того, чтобы мне нужно много вводить в PowerShell. Хорошо, давайте просто перейдем к частичным, и все, что мне нужно сделать в этом случае isC drive. Я могу видеть сертификат. Хорошо, теперь вы используете cert you - вы все в имени файла, который is.CER теперь, как вы можете видеть в проверенном сертификате, подтвержденном в CRL OCSP, также подтвержденном, так как вы можете видеть, так жаль, что система CA может работать счастливо на Windows Server внутри вашей локальной сети. Даже ваша внешняя земля, что только несколько ограничений на добавление одного на самом деле не ограничивает один бит дополнительных шагов, это ваш корневой сертификат. Хорошо, что вы создаете, когда вы его настраиваете, необходимо установить на этих клиентских компьютерах. Компьютеры, находящиеся за пределами вашей внутренней локальной сети, даже если они находятся внутри вашей локальной сети. Его еще нужно установить на них. Еще одна проблема, которая должна быть рассмотрена, - это, в основном, те клиентские компьютеры, которые пытаются войти в вашу корпоративную среду. Либо у вас есть общественность, мы скажем, адрес, где DNS является разрешимым, если все за брандмауэром. Все внутренние, и вы открыли свой брандмауэр. Определенный маршрут в том, что вам нужно будет сделать, это убедиться, что эти клиентские компьютеры. Есть DNS, который может реально разрешить этот адрес сервера. Теперь, когда мы сказали Wiese, вместе со всеми внутренними адресами, 192.168, так что вам нужно либо в файле hosts, либо что-то дать маршрут обратно на этот сервер. Так проверяются сертификаты добавления и вся ваша система. Однако тренировка - это только дополнительная работа, но это довольно просто, и как только вы это сделали, у вас фактически запущена целая система CA, где вы можете создавать свои собственные сертификаты для программного обеспечения для своих веб-серверов для вашей VPN-сети Et cetera et cetera бесплатные пользователи клиентов все это, так что, надеюсь, это видео помогло и благодарит вас за просмотр Visit our YouTube channel: https://www.youtube.com/channel/UCFj1BHYIUYfPWPb1Xn5qFIg