The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"создание self-sgned сертификатов для vsphere без Microsoft CA"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Авторизация и аутентификация, LDAP / Другая система)
Изначальное сообщение [ Отслеживать ]

"создание self-sgned сертификатов для vsphere без Microsoft CA"  +/
Сообщение от LamerDrv (ok) on 30-Сен-16, 10:44 
Здравствуйте.

Вопрос:
а может кто-нибудь скинуть ссылку на пример с описанием создания self-signed сертификатов для vSphere 5.5 БЕЗ использования Microsoft Active Directory Certificate Services? (Или, как вариант, с использованием Microsoft Active Directory Certificate Services в режиме Standalone, без использования Certificate Templates)?

Во всех статьях до которых смог дотянуться (и на kb.vmware.com и на других ресурсах), описывающих генерацию self-signed сертификаторв для служб vSphere используется Microsoft Active Directory Certificate Services. (Расписывается что надо в ADCS созать шаблон, сделав копию с стандартного "Web Server", а затем в этом шаблоне установить свойства, и уже этот шаблон использовать для генерации сертификата.)

В серии статей http://www.wooditwork.com/2011/11/30/vsphere-5-certificates-.../ вроде бы пример, в котором используется Microsoft ADCS без шаблонов. Но мне не понятно следующее, все статьи из kb.vmware.com предписывают:
1) создать signed certificate request (csr);
2) создать template, установить в нём нужные свойства, и уже с помощью этого template и csr cгенерировать сертификат.
А что будет если создав csr я сгенерирую сетрификат без использования шаблона? У него нужных свойств не будет? А почему бы нужные свойства не задать в csr? Или какие-то свойства нельзя в csr задать?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "создание self-sgned сертификатов для vsphere без Microsoft CA"  +/
Сообщение от cat84 (ok) on 03-Окт-16, 14:15 
Не знаю, можно ли в vSphere создавать запрос на сертификат, если можно, то можно попробовать сгенерировать сертификат командой certreq -submit -attrib “CertificateTemplate:WebServer” RequestFileName.ext.
Мы так для аутентификации пользователей в вебморде Керио делали.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "создание self-sgned сертификатов для vsphere без Microsoft CA"  +/
Сообщение от LamerDrv (ok) on 04-Окт-16, 16:10 
> Не знаю, можно ли в vSphere создавать запрос на сертификат, если можно,
> то можно попробовать сгенерировать сертификат командой certreq -submit -attrib “CertificateTemplate:WebServer”
> RequestFileName.ext.
> Мы так для аутентификации пользователей в вебморде Керио делали.

Спасибо. Попробовал. В сгенерированном сертификате появился атрибут "Certificate template name" содержащий значение WebServer. Но срок действия сертификата по-прежнему один год, хотя в шаблоне задано два года. Но черт с ним со сроком сертификата, похоже и другие атрибуты шаблона не учитываются.
В vSphere можно создавать запрос на сертификат. И у vmware инструмент специальный для этого есть (фактически это bat-ник, который использует openssl). И вот мне непонятно, если запрос на сертификат (сгенерированный инструментом vmware) содержит все необходимые свойства, то зачем вообще нужен шаблон?
Ведь по идее имея созданный запрос на сертификат подписать можно и с использованием openssl (вместо Microsoft ADCS)? Или нет?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "создание self-sgned сертификатов для vsphere без Microsoft CA"  +/
Сообщение от cat84 (ok) on 05-Окт-16, 08:44 
> Ведь по идее имея созданный запрос на сертификат подписать можно и с
> использованием openssl (вместо Microsoft ADCS)? Или нет?

Честно говоря, не знаю. Мы пользовались MS ADCS только из-за того, что у нас оно активно используется в связке с другим ПО. И сам я смутно понимаю, как ADCS работает, единственное, что пока что успел понять, что надо надёжно хранить список отозванных сертификатов. У нас например он ведётся в корневом центре, а виртуалка с корнем выключена и хард от неё лежит на внешнем накопителе в сейфе, а Sub от корневого уже непосредственно обрабатывает запросы

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру