DevCon 11

Вход на сайт:

Windows Live ID
Регистрация аккаунта
 Популярные ключевые слова
 Для IT-специалистов
 Для разработчиков

Последние новости    RSS-подписка

Microsoft объявляет о выходе CTP3 SQL Server «Denali»
Компания Microsoft делает важный шаг в разработке и выводе на рынок новой версии SQL Server, известной под кодовым названием «Denali», и объявляет о выходе ее третьей CTP-версии (community technology preview). //
20.07.2011

Важные ссылки

Защита сервисов Windows Server 2008 при помощи IPsec и OpenSSL

8,19
Рейтинг доклада: 

Описание доклада

Расширение функционала Центра Сертификации (ЦС) на базе Windows Server 2008 /2003 в составе рабочей группы. Создание ПОЛНОЦЕННОГО ЦС на базе OpenSSL. Конфигурирование OpenSSL ЦС для любых задач. Работа с сертификатами и смарт-картами. Защита сервисов Windows Server 2008 при помощи IPsec и OpenSSL. В докладе подробно рассматривается адаптация OpenSSL для Microsoft Windows, включая написание конфигурационных файлов. В докладе также рассмотрен процесс написания исполняемых файлов для генерации криптопар, клиентских запросов, сертифкатов. Все созданные примеры прилагаются (code.zip)

Ресурсы для дальнейшего изучения

Комментарии пользователей (14)     RSS-подписка

Пользователь gichamike написал 18.06.2010 в 11:03 #1
Прекрасный доклад!
Пользователь yuris написал 18.06.2010 в 11:24 #2
Очень полезно. Пригодиться.
Пользователь mikas написал 21.06.2010 в 10:31 #3
Сам использую OpenSSL CA как корневой CA в режиме offline, а Domain PKI CA соответственного Subordinate.
На первый взгляд всё верно. Можно ещё добавить информацию, что CA на базе OpenSSL экономит деньги на железе и ПО для сервера центра сертификации и позволяет повысить безопасность.
Пользователь mikas написал 21.06.2010 в 10:34 #4
Одно отличие - у меня пароль генерится в файл:
openssl rand -out ./authority/master.pwd 512
Пароль на ca - это святое!
Кстати, по поводу дистрибутива OpenSSL под Windows. Есть только одна официальная сборка, и найти её можно здесь: http://www.slproweb.com/products/Win32OpenSSL.html
А теперь почему нужно использовать её (тут конечно немного паранои): есть информация, что рандомизатор, идущий в комплекте с исходниками OpenSSL не совсем хорош, а в этой оптимизированной сборке используется виндовый «улучшенный» криптопровайдер. Информация не моя. Но всё равно на офсайте OpenSSL ссылка на http://www.slproweb.com/products/Win32OpenSSL.html имеется.
Пруфлинк: http://www.openssl.org/related/binaries.html
Пользователь uconnect написал 21.06.2010 в 11:04 #5
По поводу пароля на CA – я его руками вбивал. Для пользовательских сертификатах я делал экспортный пароль (в презентации 123456).
По поводу OpenSSL CA – я считаю, что для offline root CA ВООБЩЕ не нужна машина, даже виртуальная :)
Т.е. копируем и прячем каталог ЦС. (адаптируем конфиги скрипты, если надо под windows. У меня самого – это на FreeBSD) и запускаем из любого места.
Т.е. – если нужны сертификаты Offline root CA - копируем каталог, генерим сертификаты и заново прячем :)

В OpenSSL CA есть бонус (как я показывал в докладе), когда сервер работает в составе рабочей группы. Т.е. Windows CA сильно ограничен
Пользователь mikas написал 22.06.2010 в 10:13 #6
Еще хочу добавить по поводу скриптов. В скриптах указаны абсолютные пути. Не феншуй. Так просто CA с такой конфигой не потаскаешь.
Я использую относительные пути:
new_certs_dir = ./servers
Пользователь uconnect написал 22.06.2010 в 11:46 #7
По поводу "полных путей" - во FreeBSD я использую ./DB/xx и т.д. В Windows, в связи с проблемами с "двойной крышкой" (\\) я прописал постоянные пути.
По поводу "потаскать" - на любую Windows-машину в корень диска "C" :)
Думаю, это не проблема :)
Пользователь uconnect написал 22.06.2010 в 11:47 #8
------------------------ Люди, "плюсуйте" доклад и докладчика :) -------------------------
Пользователь mikas написал 22.06.2010 в 13:28 #9
А вот и нету в Windows проблемы с "двойной крышкой" (\\) - просто нужно использовать одну "обратную крышку" в конфиге и обычную крышку в нативных CMD скриптах :-)
Пользователь vragunesdaetsya написал 22.06.2010 в 15:19 #10
Вот спасибо хорошо :) Доклад, конечно, переписывать не буду, но себе в скриптах поправлю. Спасибо
Пользователь vragunesdaetsya написал 22.06.2010 в 15:31 #11
В смысле, доклад можно и не переписывать, а в скриптах поправить было бы не плохо :) Будет и универсально и красиво
Пользователь uconnect написал 22.06.2010 в 15:44 #12
странный коммент... ОК. Как дойдут руки - поправлю. Если Сделаете сами - пришлите на uconnect@mail.ru - выложу
Пользователь chupin написал 26.05.2011 в 18:48 #13
вопрос: для чего нужна последняя команда в скрипте создания сертификата клиента: pkcs12 -in %1-ipsec-clt.p12 -out %1.pem -passin pass:123456 -passout pass:123456
Пользователь uconnect написал 30.05.2011 в 13:11 #14
http://en.wikipedia.org/wiki/PKCS12 - описание стандарта PKCS12
http://www.openssl.org/docs/apps/pkcs12.html - описание команды.

Добавить комментарий

Подписаться на комментарии

Чтобы оставить комментарий вам нужно авторизоваться или зарегистрироваться.  

Теги доклада

Windows Vista, Windows Server 2003, ЦС, Windows 7, CA, OpenSSL, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 R2, Центр Сертификации, Windows XP

Файлы для загрузки

WMV 800*600 (26,3 Mb)
WMV 320*240 (14,08 Mb)
Авторы: Илья Лисицын
Просмотров: SilverLight: 861
Windows Media Player: 164
Уровень: 200
Публикация: 18.06.2010


    Нужно ли добавить на TechDays.ru записи живых выступлений?

Похожие доклады

Разместить в сервисах

Забобрить эту страницу! Добавить в МоёМесто.ru
Спонсоры и партнеры проекта