MACTEP
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 U2007:
Цитата:
Испытал я этот скрипт в действии. Работает, конечно, но не очень красиво, с моей точки зрения.
Выбран был пункт 2 (replace VMCA Root ... and all certificates). В этом случае скрипт выгружает реквест на подпись сертификата промежуточного центра и (внимание!) ключ этого сертификата в открытом виде (вопрос - а нафига???). Ну да ладно, подписываю этот сертификат свои рутовым и скармливаю скрипту обратно вместе с чем? Да, да, да, с выгруженным ранее ключом. Вцентр начинает всё это долго и тщательно пережевывать, ибо надо и серт установить и сгенерить новый машинный и солюшен и их подписать. В итоге всё происходит успешно. Но! Сертификаты, которые сгенерились в автоматическом режиме оказываются подписанными на 2 года. И нигде этот параметр менять не предлагалось. Это при том, что рутовый у меня на 25 лет, а промежуточный этим рутовым я подписал на 15 лет (а чем я сам себе не Thawte?). Но самое неприятное, конечно же ключ, который ну никак не должен экспортироваться, ибо не надо это никому. А в противном случае он легко компрометируется и, учитывая, что рутовый распространен во всей инфраструктуре, как Trusted root CA, ну и, как говорится, здрасьте-приехали... |
Всего записей: 928 | Зарегистр. 11-04-2002 | Отправлено: 17:20 05-11-2018 | Исправлено: MACTEP, 17:22 05-11-2018 |
|
