Score:0

PKI เชื่อมั่นใน Active Directory

ธง gb

สมมติว่าใบรับรองของ ADCS CA ที่เข้าร่วมกับโดเมนที่ระบุได้รับการลงนามโดย CA รูทแบบออฟไลน์ ซึ่งระบบทั้งหมดในโดเมน/ฟอเรสต์จะเชื่อถือ หากรากออฟไลน์นั้นถูกใช้เพื่อออก/ลงนามใบรับรอง CA (ไม่มีข้อจำกัด) และ CA นั้นออกใบรับรองผู้ใช้/คอมพิวเตอร์/สมาร์ทการ์ดสำหรับทรัพยากรของโดเมนที่มีปัญหา ใบรับรองเหล่านั้นจะเชื่อถือได้หรือไม่ (เช่น ใบรับรองที่ออกในลักษณะนี้ ทำงานตรวจสอบโดเมน) ?

cn flag
สำหรับ PKI สมาร์ทการ์ดตัวจริง การออกใบรับรอง CA มีการลงทะเบียนในร้านค้า AD Enterprise NTAuth แต่ถ้าคุณได้มาถึงขั้นตอนนั้นค่อนข้างตรงไปตรงมา
Score:1
ธง ng

หากคอมพิวเตอร์ทุกเครื่องในโดเมนเชื่อถือ root CA ตามคำนิยาม คอมพิวเตอร์จะเชื่อถือใบรับรองทุกเครื่องที่ลงนาม รวมทั้งใบรับรองของ CA ย่อยใหม่ด้วย

อย่างไรก็ตาม หาก sub-CA ใหม่ไม่ได้รวม AD คอมพิวเตอร์หรือแอปพลิเคชันบางเครื่องอาจมีปัญหาในการตรวจสอบความถูกต้องของห่วงโซ่ CA ทั้งหมดจนถึงระดับราก ในการแก้ไขปัญหานี้ คุณสามารถปรับใช้ใบรับรองของ sub-CA เป็น a ผู้ออกใบรับรองระดับกลางที่เชื่อถือได้ ใช้ GPO

5y5tem5 avatar
gb flag
ขอบคุณ สมมติว่าใบรับรองของ CA ที่ไม่รวม AD นี้มีให้ที่การรับรองความถูกต้อง (ห่วงโซ่ใบรับรอง) หรือมีให้สำหรับระบบที่จัดการการรับรองความถูกต้อง (พูดผ่าน AIA) ในกรณีนั้นสามารถใช้การเข้าสู่ระบบได้ ถูกต้องไหม
Massimo avatar
ng flag
ขึ้นอยู่กับว่าคุณต้องการเข้าสู่ระบบที่ไหนและอย่างไร "การลงนามโดย CA ที่เชื่อถือได้" และ "การได้รับอนุญาตให้เข้าสู่ระบบ" เป็นสองสิ่งที่เกี่ยวข้องแต่แตกต่างกัน ใบรับรองจะ *เชื่อถือได้*; การจะ *ยอมรับ* นั้นขึ้นอยู่กับใครหรือสิ่งใดที่ทำหน้าที่ตรวจสอบสิทธิ์

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา