Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Является ли необходимым в домене Windows Центр Сертификации? (http://forum.oszone.net/showthread.php?t=129919)

ANR 26-01-2009 15:45 1019992
Является ли необходимым в домене Windows Центр Сертификации?
 
Добрый день, коллеги!

Помогите разобраться с возможно элеметарным вопросом. Является ли необходимым настройка центра сертификации в домене для его нормального функционирования?

Дело в том, что есть уже поднятый домен с двумя КД. На одном из КД поднята служба Certification Authority (центр сертификации). Этот самый КД подлежит удалению из домена. Будет добавлен новый сервер. Теперь вопрос - нужно ли поднимать на новом сервере эту службу? Будет ли ее без нее домен функционировать нормально?

Добавлю, что в домене еще есть Exchange 2003 и ISA Server 2004.

Я почитал про службу сертификаци http://www.oszone.net/4022/Certificate_Services , но так и не понял, Для функционирования самого домена (почты, интернета и т.п.) - эта служба необходима или нет?

Oleg Krylov 26-01-2009 17:16 1020103
В самом общем случае - не обязательна. Необходима при:
1. Защита потоков с внешних узлов на публикуемые (https, Outlook Anywhere, ActiveSync etc.)
2. Использование в сети IPSec.
3. Использование систем защиты почты при помощи S\MIME
4. Использование электронной цифровой подписи.
Если этого у вас нет, можно обойтись без CA.
P.S. Мой список можно дополнить\исправить :)

ANR 27-01-2009 08:38 1020853
Выяснил, что почта Exchange опубликована в инет по протоколу https, для этого в ИСА указан сертификат, который, видимо, и был создан с помощью СА на этом КД. Я попробовал отключить службу СА на сервере, почта через Интернет не перестала работать. То есть если я правильно понял, то после генерации нужного сертификата эту службу можно остановить или даже удалить безболезненно? Тогда зачем в этой оснастке прописаны сертификаты для серверов-контроллеров домена? Какую роль они выполняют?

По поводу остального из списка - ничего в сети больше не используется.

Oleg Krylov 27-01-2009 23:42 1021765
Цитата:
Цитата ANR
то после генерации нужного сертификата эту службу можно остановить или даже удалить безболезненно? »
А через пять лет (срок жизни сертификата по умолчанию) выдрать себе все волосы во всех местах :)
На старом CA забэкапьте сертификат корневого СА, с закрытым ключом, разумеется. А после этого разверните на новом с использованием этого сертификата. Тогда все клиенты, которые считали Ваш OWA родным, продолжат его таковым считать.
Вот Вам для самообразования:
По-русски-
http://www.fcenter.ru/online.shtml?a...tware/os/12042
http://www.winblog.ru/2006/11/23/23110606.html
по-нерусски-
http://www.microsoft.com/windowsserv...i/default.mspx
Как освоите - будете БОЛЬШОЙ молодец!

ANR 28-01-2009 10:21 1022078
Oleg Krylov,
Ну, во-первых, у меня там сертификаты на два года. Как поменять их срок до 5? Именно их, а не заново создаваемых.

По поводу переноса сервера - тут http://support.microsoft.com/kb/298138 написано, что нужно полностью убрать старый сервер и назвать новый сервер как старый. Но я уже назвал новый сервер и имя старого сервера совсем к нему не приемлимо :(

Получается нужно заново все сертификаты создавать?


Время: 02:49.

Время: 02:49.
© OSzone.net 2001-