Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Co udělat po instalaci autority
březen 21
Co udělat po instalaci autority

Po instalaci Windows certifikační autority​ (Active Directory Certificate Services) je vhodné provést některé další akce z příkazové řádky. Všechno je vnásledující tabulce:

​Příkaz Vysvětlení​
CERTUTIL -setreg Policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2​ Pokud chcete vydávat certifikáty obsahující SAN (Subject Alternative Name) pomocí offline požadavku (tedy bez přímého přístupu na autoritu přes DCOM), tak si musíte povolit tuto možnost.​
CERTUTIL -setreg CA\CRLFlags +CRLF_PUBLISH_EXPIRED_CERT_CRLS​ Certifikační autorita odstraňuje automaticky vypršelé certifikáty z CRL. Co když si je tam chcete nechat - což je z bezpečnostního pohledu správně, ale žere to místo v CRL. Tak si musíte zapnout tuto volbu.​
CERTUTIL -setreg CA\ValidityPeriodUnits 5​ Certifikační autorita není ochotna vydávat certifikáty s delší platností, než je tato hodnota. A to bez ohledu na nastavení v šabloně certifikátů (Certificate Template). To není až tak potřeba pro normální certifikáty, jako spíše pro certifikáty podřízených autorit (subordinate CA). Obvykle byste je chtěli mít na delší dobu, než 2 roky, což je výchozí hodnota.
CERTUTIL -setreg CA\SubjectTemplate +StreetAddress​ Autorita odmítá do políčka Subject vydávaných certifikátů dávat adresu, i když si o to požádáte a takový požadavek schválíte. Někdy se to hodí, tak proč to nezapnout. Ale pozor samozřejmě, potom tu adresu musíte garantovat!​
 

 

Comments

There are no comments for this post.

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments