יותר

ספריית שרת ArcGIS משמשת לאחסון קבצי ביניים


יש לי כלי שעושה את העבודה הבאה:

  1. מתחבר ומביא נתונים מ- hdf באמצעות אימפלה
  2. צור קובץ csv ביניים.
  3. מקובץ csv הוא יוצר שיעורי תכונות מותאמים אישית.

נכון לעכשיו כאשר מריצים אותו ככלי עצמאי השתמשתי בנתיבים מוחלטים בדיסקים המקומיים וזה עובד מצוין. השתמשתי במספר אקראי כדי ליצור ספריות עבודה שונות לאחסון הנתונים.

כעת עלי לפרסם את הכלי הזה כשירות גיאו-עיבוד. אז אני צריך לגשת לספריות השרתים כדי לשמור את קבצי הביניים שלי.

כשאני קורא, בכל פעם שמפעילים כלי זה יוצר תיקיה עם מזהה ייחודי בתוך תיקיית arcgisjob. אם הבנתי נכון, אני זקוק לגישה לספריה זו.

אנא הציע כיצד להשתמש בתיקיה.

אני משתמש בשרת ArcGIS 10.1 עבור Windows.


אני ממליץ להשתמש ב arcpy.env.scratchFolder כדי לטפל בקבצי ביניים. מצב העזרה של ArcGIS:

מטרתו העיקרית היא לשימוש על ידי סקריפטים ומודלים כשירותי עיבוד גיאוגרפי, כאשר המוקד הנוסף מצביע רק על תיקיה ידועה. כאשר ArcGIS עבור שרת מבצעת משימת גיא-עיבוד, תיקיית הגרוטאות תמיד זמינה לכתוב אליה פלט.

תיקיית Scratch זמינה מאז ArcGIS 10.1. לפני 10.1 יש להשתמש במקום זאת בסביבת העבודה Scratch, שיש לה את החיסרון בכך שהיא לא מבחינה אם סביבת השריטה היא תיקיה או בסיס גיאוגרפי.


הגדר תצורת שורשים מהימנים ואישורים אסורים

מערכות ההפעלה Windows Server 2012 R2, Windows Server 2012, Windows 8.1 ו- Windows 8 כוללות מנגנון עדכונים אוטומטי שמוריד רשימות אמון אישורים (CTL) על בסיס יומי. ב- Windows Server 2012 R2 ו- Windows 8.1, קיימות יכולות נוספות לבקרת אופן עדכון ה- CTL.

עדכוני תוכנה זמינים עבור Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 ו- Windows Vista. כדי לספק את השיפורים של מנגנון העדכון האוטומטי שנדון במסמך זה, החל את העדכונים הבאים:


בעיה זו מתרחשת כאשר לאישור המיובא לא משויך מפתח פרטי. אם מישהו מנסה לייבא אישור ברמת תחום ל- IIS, איננו יכולים לייבא אם לאישור לא משויך מפתח פרטי ויגרום לאישור להיעלם בזמן הרענון.

הפיתרון יהיה לייבא את קובץ ה- CER למערכת שלך (משם מתבקש אישור) לאחסן אנשי קשר ולייצא אותו עם מפתח פרטי. לאחר מכן העתק את קובץ ה- pfx לשרת הנדרש וייבא אותו מאפשרות אישורי השרת תחת IIS. זה יתקן את הבעיה.

הייתה לי בעיה זו מספר פעמים. אם משתמשים ב- SSL של NetworkSolutions התיקון הוא:

  1. עבור אל מנהל אישורי MMC.
  2. צפו בתעודות אישיות ומחקו את האישור "נעלם".
  3. לאחר מכן צפו ב"בקשות הרשמה לאישור "ולחצו ימנית לייצוא.
  4. בחר "כן, ייצא עם מפתח פרטי.

זה יאפשר לך לייצא את קובץ ה- pfx שתוכל לייבא ממנהל IIS 7. זכור לחזור למנהל אישורי MMC ולבחור "אישורים אישיים" ובתוך מאפיינים הוסף את "שם ידידותי" חזרה כך שהוא יופיע בתוך מנהל ה- IIS.

אם לשרת אין מפתח פרטי המשויך לאישור המיובא האישור נעלם ברענון (וגם הוא לא יהיה זמין לאיגודים).

ניתן לבדוק ב- mmc - אישורים - חנות אישית ולאשר שהתעודה הותקנה אך חסר לה מפתח פרטי.

אם יש לך PFX (מפתח פרטי) וסיסמה אתה יכול לייבא אותם (כמו שאמר אחר), אך אם פשוט הגשת בקשה לאישור כנראה שלא תהיה לך את זה.

נניח שאתה נמצא בשרת הנכון (אותו מקום בו ביקשת את האישור), כנראה שהמפתח הפרטי נפגם איכשהו. אתה יכול לפתוח את האישור הציבורי, לקבל את המספר הסידורי ולנסות לשחזר את המפתח הפרטי ממאגר המפתחות כמו שתואר כאן.

הרבה אנשים יגיעו לכאן ולא יבינו שהם מבצעים את תהליך האישור באופן שגוי על הוספת SSL לאתרים הציבוריים שלהם. הם הורידו אישור ממישהו כמו godaddy ולא הבינו שהם עשו זאת בסדר הלא נכון! הם לא יקבלו הודעות שגיאה, כל מה שיקרה הוא שהתעודה ב- IIS תיעלם ברגע שתלחץ לחלק אחר.

התהליך הנכון הוא כדלקמן:

  1. ב- IIS אתה מבקש אישור (שלל אנשים מתגעגע לחלק זה)
  2. אתה משתמש בקוד המבוקש מ- IIS כדי לבקש אישור באתר הציבורי (למשל godaddy). הרבה אנשים לא עושים את הצעד הראשון ומשתמשים במפתח שנוצר באופן אקראי
  3. הורד את האישורים שנוצרו באמצעות קוד הבקשה שלך.
  4. אתה מוסיף את אישור הביניים ברשות האישורים המקומית (השתמש ב- MMC כדי להגיע לשם)
  5. אתה מוסיף את האישור האחר ב- IIS
  6. אתה מגדיר את הכריכות

להלן קישורים. צור בקשת אישורים

האם זה ב- IIS 6 או IIS 7? ייבאת אותו למסוף MMC או ל- IIS? נסה קודם לייבא אותו למסוף MMC ואז לבחור אותו ב- IIS. כמו כן, וודא כי הקובץ שאתה מייבא הוא קובץ .pfx הכולל את המפתח הפרטי.

הייתה לי גם בעיה זו ופתרתי אותה באמצעות OpenSSL ליצירת קובץ ה- pfx הנכון. הוראות לכך ניתן למצוא כאן

כפי שאמר סאנדייפ, IIS מוחק את האישור שלך אם אין לו מפתח פרטי. זה קורה לעיתים קרובות אם אתה משתמש ב- IIS ליצירת בקשת אישורים מ- CA. ל- CA שלך אין את המפתח הפרטי שלך (אתה כן) ולכן הקובץ אינו מכיל את המפתח הפרטי. הוא הצעדים המדויקים שעליך לעשות:

במקור יצרת בקשת אישור מ- IIS בשרת שלך. שלחת את קובץ ה- TXT לבקשה לרשות האישורים שלך כדי שיוכלו ליצור את האישור עבורך.

רשות האישורים שלך שלחה לך קובץ .CRT בחזרה באותו שרת Windows בו השתמשת ליצירת בקשת האישור, בסייר Windows לחץ באמצעות לחצן העכבר הימני על קובץ ה- CRT שרשות האישורים שלך שלחה לך.

בחר התקן אישור אשף ייבוא ​​האישורים פועל

באשף ייבוא ​​האישורים, במיקום החנות, בחר מכונה מקומית

הבא בחר הצב את כל האישורים בחנות הבאה ובחר רשויות אישורי שורש מהימנות

אישור זה גורם ל- Windows לייבא את האישור ל- Windows (לא ל- IIS). כעת עליך לקבל את קובץ ה- PFX המכיל את המפתח הפרטי:

אישורים (מחשב מקומי)

מתעודות (מחשב מקומי) - הסמכת שורש מהימנה מורחבת

שים לב שהוא מציג "יש לך מפתח פרטי שמתאים לאישור זה."

לחץ באמצעות לחצן העכבר הימני על האישור.

בדף "ייצא מפתח פרטי" של האשף, בחר "כן, ייצא את המפתח הפרטי"

אשף ייצוא האישורים יבקש ממך - ייצא פורמט קובץ PKCS # 12 (.PFX)

אשף ייצוא האישורים מחייב אותך להגן על הקובץ באמצעות סיסמה:

הזן סיסמה בה ניתן להגן על הקובץ.

דפדף למיקום וספק שם קובץ. לקובץ תהיה סיומת .PFX.


ייצוא וייבוא ​​אישורי SSL בין שרתי Windows עם קובץ PFX

סקירה כללית: העברת אישור ה- SSL שלך משרת Windows אחד לשרת Windows אחר תדרוש ממך לייצא ואז לייבא את זוג מפתחות ה- SSL שלך משרת A לשרת B באמצעות קובץ גיבוי PFX, המכונה גם קובץ ארכיון PKCS # 12.

& # x000A

לידיעתך, לא ניתן לספק קבצי PFX על ידי רשויות האישור מכיוון שארכיוני PFX מחייבים את המפתח הפרטי העונה לכאן. למידע נוסף ב: כיצד אוכל להוריד קובץ PFX?

& # x000A

א. ייצא אישור שרת ומפתח פרטי amp לקובץ PFX

    & # x000A
  1. בתוך ה לָרוּץ בתיבת הדו-שיח, הקלד mmc ואז לחץ בסדר. מסוף הניהול של מיקרוסופט (MMC) מופיע. & # x000A
  2. אם אין לך מנהל תעודות המותקן ב- MMC, יהיה עליך להתקין אותו. & # x000A
      & # x000A
  3. בתפריט קובץ, לחץ על הוסף / הסר הצמד & # x000A
  4. נְקִישָׁה לְהוֹסִיף ואז בחר תעודות מ ה תוספים עצמאיים זמינים תיבת דו-שיח ולחץ לְהוֹסִיף & # x000A
  5. בחר חשבון מחשב ואז מחשב מקומי & # x000A
  6. ה מנהל תעודות MMC הותקן & # x000A
  7. אל בחר לִמְחוֹק המפתח הפרטי אם הייצוא מצליח, מכיוון שהדבר יבטל את אתר ה- SSL המתאים לאותו מפתח פרטי.

    בחר בתיבת הסימון "כלול את כל האישורים בנתיב ההסמכה במידת האפשר".

    ב. ייבא אישור שרת מקובץ PFX

      & # x000A
    1. בתוך ה לָרוּץ בתיבת הדו-שיח, הקלד mmc ואז לחץ בסדר. מסוף הניהול של מיקרוסופט (MMC) מופיע. & # x000A
    2. אם אין לך מנהל תעודות המותקן ב- MMC, ראה שלב 2 לעיל. & # x000A
    3. בעץ המסוף בחלונית השמאלית הרחב את תעודות הצומת (מחשב מקומי), ואז ה- אישי צוֹמֶת.

    כיצד להקצות אישור SSL מיובא לאתר ב- IIS

      & # x000A
    1. כעת מפתחות ה- SSL נמצאים בשרת היעד. בשלב הבא אנו מקצים את האישור לאתר ב- IIS. & # x000A
    2. פתח את ה מנהל שירותי מידע באינטרנט (IIS). מ ה הַתחָלָה בחר כפתור תוכניות & gt מנהליכלים & gt מנהל שירותי מידע באינטרנט. & # x000A
    3. ב מנהל IISלחץ לחיצה כפולה על המחשב המקומי ואז לחץ פעמיים על אתרי אינטרנט תיקיה. & # x000A
    4. מקש ימני אתר האינטרנט שעבורו ברצונך להקצות את האישור המיובא, ואז לחץ נכסים. כברירת מחדל זה יהיה אתר ברירת מחדל, שלך עשוי להיות שונה.
      & # x000A
    5. בחר את אבטחת מדריך לחץ על הלשונית ולחץ תעודת שרת בתוך ה תקשורת מאובטחת סָעִיף. & # x000A
    6. נְקִישָׁה הַבָּא בתוך ה ברוך הבא לאשף אישורי שרת האינטרנט חַלוֹן. & # x000A
    7. בחר הקצה אישור קייםלחץ הַבָּא. & # x000A
    8. בחר את האישור מהרשימה וסיים את האשף. & # x000A
    9. תפסיק, לאחר מכן הַתחָלָה שרת האינטרנט לאתר זה. & # x000A

    אנא צרו קשר עם צוות התמיכה שלנו אם יש לכם בעיות או שאלות נוספות.


    חָשׁוּב סעיף, שיטה או משימה זו מכילים שלבים המסבירים כיצד לשנות את הרישום. עם זאת, עלולות להתרחש בעיות חמורות אם תשנה את הרישום באופן שגוי. לכן, הקפד לבצע את השלבים הבאים בקפידה. להגנה נוספת, גבה את הרישום לפני שתשנה אותו. לאחר מכן תוכל לשחזר את הרישום אם מתרחשת בעיה. לקבלת מידע נוסף אודות אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:

    322756 כיצד לגבות ולשחזר את הרישום ב- Windows

    כדי לעזור לאבטח LDAP באמצעות SSL TLS מאובטח יותר, מנהלי מערכת יכולים להגדיר את הגדרות הרישום הבאות:

    נתיב לבקרי תחום של Active Directory Domain Services (AD DS): HKEY_LOCAL_MACHINE System CurrentControlSet Services NTDS Parameters

    נתיב לשרתים של Active Directory Lightweight Directory (AD LDS): HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services שם מופע & ltLDS & gtפרמטרים

    DWORD: LdapEnforceChannelBinding

    ערך DWORD: 0 מציין נָכֶה. לא מתבצע אימות מחייב ערוצים. זו התנהגותם של כל השרתים שלא עודכנו.

    ערך DWORD: 1 מציין מופעלת, כאשר נתמך. כל הלקוחות הפועלים בגירסת Windows שעודכנה לתמיכה באסימוני קשירת ערוצים (CBT) חייבים לספק מידע על קשירת ערוצים לשרת. לקוחות שמריצים גרסת Windows שלא עודכנה לתמיכה ב- CBT אינם חייבים לעשות זאת. זו אפשרות ביניים המאפשרת תאימות ליישומים.

    ערך DWORD: 2 מציין מופעלת, תמיד. כל הלקוחות חייבים לספק מידע מחייב ערוצים. השרת דוחה בקשות אימות מלקוחות שלא עושים זאת.

    לפני שתפעיל הגדרה זו בבקר תחום, על הלקוחות להתקין את עדכון האבטחה המתואר ב- CVE-2017-8563. אחרת, עלולות להיווצר בעיות תאימות, ובקשות אימות LDAP באמצעות SSL / TLS שעבדו בעבר לא יפעלו עוד. כברירת מחדל, הגדרה זו מושבתת.

    יש ליצור במפורש את ערך הרישום LdapEnforceChannelBindings.

    שרת LDAP מגיב באופן דינמי לשינויים בערך הרישום הזה. לכן, אינך צריך להפעיל מחדש את המחשב לאחר החלת שינוי הרישום.


    כדי למקסם את התאימות לגירסאות ישנות יותר של מערכת ההפעלה (Windows Server 2008 וגירסאות קודמות), אנו ממליצים שתפעיל הגדרה זו עם ערך של 1.

    כדי להשבית את ההגדרה במפורש, הגדר את הערך LdapEnforceChannelBinding ל- 0 (אֶפֶס).

    מערכות Windows Server 2008 ומעלה דורשות התקנת ייעוץ אבטחה של מיקרוסופט 973811, הזמין ב- "KB 968389 הגנה מורחבת לאימות", לפני התקנת CVE-2017-8563. אם אתה מתקין את CVE-2017-8563 ללא KB 968389 בבקר תחום או במופע AD LDS, כל חיבורי LDAPS ייכשלו עם שגיאת LDAP 81 - LDAP_SERVER_DOWN. בנוסף המלצנו בחום לבדוק ולהתקין את התיקונים המתועדים בסעיף בעיות ידועות ב- KB 968389.


    4 תשובות 4

    הערה: זהו קומפנדום (ארוך מאוד מאוד) של המלצות ופעולות שונות שאמרו מיקרוסופט, NIST ומומחי PKI וקריפטוגרפיה מכובדים אחרים. אם אתה רואה משהו שדורש אפילו תיקון קל ביותר, אנא יידע אותי.

    לפני שאכנס לתצורת התצורה של ה- CA ותתי המשנה שלה, טוב לדעת שלמרות ש- CryptoAPI של MSFT דורש שורש בחתימה עצמית, חלק מהתוכנות שאינן MSFT עשויות לעקוב אחר RFC 3280 ולאפשר לכל CA להיות השורש המהימן למטרות אימות. אחת הסיבות עשויה להיות שתוכנה שאינה MSFT מעדיפה אורך מקשים נמוך יותר.

    להלן מספר הערות תצורה והנחיות להגדרת הגדרת CA ROOT והמשנה:

    אחסון המפתח הפרטי של ה- CA

    הטוב ביותר: אחסן את המפתח ב- HSM התומך בספירת מפתחות. בכל שימוש במפתח הפרטי של ה- CA, יוגדל הדלפק. זה משפר את פרופיל הביקורת שלך. חפש את FIPS140 רמה 3 או 4

    טוב: אחסן את המפתח הפרטי בכרטיס חכם. למרות שאינני מודע לשום כרטיס חכם המציע ספירת מקשים, הפעלת ספירת מקשים עשויה להניב תוצאות בלתי צפויות ביומן האירועים

    מקובל: אחסן את המפתח הפרטי ב- Windows DPAPI. ודא שמפתחות אלה וסוכן רישום המפתח לא יגיעו לאישורי נדידה. ראה גם: כיצד למנות אישורי DPAPI ותעודות נדידה

    אל תשתמש ב- 1024 כאורך מפתח. NIST הביא את המיסוי להיסגר בשנת 2011, MSFT לעולם לא יוסיף אותו לחנות Trusted Root CA שלך מכיוון שהוא לא יעמוד בקריטריונים הטכניים המינימליים המקובלים.

    אישורי שורש התומך באפליקציות מדור קודם לעולם לא אמור להיות גדול מ -2048 ביט. סיבה: תמיכה ב- MSFT רואה מקרים רבים בהם אפליקציות Java או התקני רשת תומכים רק בגדלי מפתח של 2048 בתים. שמור את אורכי הסיביות הגבוהים יותר ל- CA שמוגבלים למטרה מסוימת (Windows לעומת התקני רשת) וכו '.

    ה- NIST ממליץ על 2048 או 3072 ביט. ECC נתמך, אם כי זה עלול לגרום לבעיות ביכולת פעולה הדדית של המכשירים.

    תכנן את ההצפנה החזקה ביותר (אורך המפתח) בכל ה- PKI, אחרת צפה ליתרונות אבטחה מעורבים.

    ללקוחות ניידים יש בעיות (High CPU) או אי התאמה למפתחות גדולים

    האלגוריתם ואורך המפתח יכולים להשפיע על משך הזמן שאישורים יהיו תקפים, מכיוון שהם קובעים למעשה כמה זמן זה עלול לקחת סדק תוקף, כלומר ככל שהקריפטוגרפיה חזקה יותר, כך אתה עשוי להיות מוכן לקבל תעודות תקפות יותר

    גישה אחת היא לקבוע מהי התוקף הארוך ביותר שתזדקק לתעודות של ישויות קצה, להכפיל אותו עבור תעודות הוצאה, ואז להכפיל אותו שוב עבור root ca (בשני שכבות). בגישה זו היית מחדש באופן שגרתי כל תעודת CA כאשר הגיע מחצית מחייו - זאת מכיוון ש- CA אינו יכול להנפיק אישורים עם תאריך תפוגה לאחר זה של תעודת ה- CA עצמה.

    ערכים מתאימים יכולים להיקבע רק על ידי הארגון שלך ומדיניות האבטחה שלך, אך בדרך כלל ל- root ca יהיה אורך חיים של 10 או 20 שנים.

    אם אתה מודאג לגבי תאימות, הגדר את תאריך התפוגה מתחת ל -2038. הסיבה לכך היא מערכות המקודדות נתונים כשניות מאז ה -1 בינואר 1970 על פני מספר שלם של 32 סיביות חתום. קרא עוד על נושא זה כאן.

    בחירת Hash

    אולי תרצה לחקות את רשות הניהול הפדרלית של PKI ולהקים שני שורשי PKI. SHA-256 מודרני אחד לכל המכשירים התומכים בו, ו- SHA-1 מדור קודם. לאחר מכן השתמש בתעודות צולבות כדי למפות בין שתי הפריסות.

    Authenticode ו- S / MIME עם גיבוב SHA2 אינם נתמכים ב- XP או 2003

    & quot בהתייחס לתמיכה ב- SHA-224, SHA-224 מציע פחות אבטחה מ- SHA-256 אך לוקח את אותה כמות משאבים. כמו כן, SHA-224 אינו משמש בדרך כלל על ידי פרוטוקולים ויישומים. תקני Suite B של ה- NSA גם אינם כוללים אותם. & Quot; מקור

    & quot אל תשתמש בחבילת SHA2 בשום מקום בהיררכיה של CA אם אתה מתכנן ש- XP אמון על האישור, מאמת את האישור, משתמש בתעודת אימות השרשרת או מקבל אישור מה- CA. למרות ש- XP SP3 מאפשר אימות של אישורים המשתמשים ב- SHA2 בהיררכיה של CA, ו- KB 968730 מאפשר הרשמה מוגבלת של אישורים החתומים על ידי CA באמצעות SHA2, כל שימוש בחתימות בדידות חוסם את XP לחלוטין. & Quot (מקור)

    בחירת ספק קריפטוגרפי

    אפשר ייצור מספרים סידורי אקראי

    נכון לשנת 2012, הדבר נדרש אם אתה משתמש ב- MD5 כ- hash. זה עדיין רעיון טוב אם משתמשים ב- SHA1 ומעלה. ראה גם את Windows 2008R2 & quothow ל- & quot לקבלת מידע נוסף.

    צור הצהרת תרגול תעודה

    הצהרת תרגול תעודה היא הצהרה על הנוהגים בהם ה- IT משתמש לניהול האישורים שהוא מנפיק. הוא מתאר כיצד מדיניות האישורים של הארגון מתפרשת על רקע ארכיטקטורת המערכת של הארגון ונהלי התפעול שלו. מחלקת IT אחראית על הכנת ותחזוקת הצהרת תרגול האישורים. (מָקוֹר)

    הערה: במצבים מסוימים, כמו למשל כאשר משתמשים בחתימות דיגיטליות על חוזים מחייבים, הצהרת תרגול האישור יכולה להיחשב גם כהצהרה משפטית אודות רמת האבטחה הניתנת וההגנות המשמשות לקביעת רמת האבטחה ושמירה עליה. .

    שיטות עבודה מומלצות: למרות שאפשר להכניס טקסט חופשי לתחום זה (ראה הודעה למטה), הפיתרון האידיאלי הוא להשתמש בכתובת URL. זה מאפשר לעדכן את המדיניות מבלי להנפיק מחדש את האישורים, זה גם מונע נפיחות מיותרת של חנות האישורים.

    מדיניות תעודה

    המכונה גם מדיניות הנפקה או מדיניות אבטחה (ב- MSFT), זהו OID המוגדר בעצמו המתאר את מידת האמון שיש לשים בתעודה שלך (גבוהה, med, נמוך וכו '). עיין בתשובה זו של StackExchange כיצד להשתמש נכון בשדה זה.

    ודא שתואמות מדיניות יישומים ומדיניות EKU

    מדיניות יישומים היא מוסכמה אופציונלית של מיקרוסופט. אם אתה מנפיק אישורים הכוללים גם מדיניות יישומים וגם סיומות EKU, ודא ששתי ההרחבות מכילות מזהי אובייקט זהים.

    אפשר בדיקת CRL

    בדרך כלל, CA של Windows Server 2003 תמיד יבדוק ביטול בכל האישורים בהיררכיית PKI (למעט אישור ה- CA הבסיסי) לפני הנפקת אישור ישות קצה. כדי להשבית תכונה זו, השתמש בפקודה הבאה ב- CA ולאחר מכן הפעל מחדש את שירות CA:

    נקודת הפצה של CRL

    הכוונה מיוחדת לבעלי מקצועות שורש

    זה אופציונלי ב- CA שורש, ואם נעשה באופן שגוי זה עלול לחשוף את המפתח הפרטי שלך.

    כל פרסום ה- CRL מתבצע באופן ידני מ- RootCA לא מקוון לכל שאר תת-CA. אלטרנטיבה היא להשתמש בכבל שמע כדי להקל על תקשורת חד כיוונית מהשורש ועד תת-CA

    זה מקובל לחלוטין שה- CA של השורש ינפיק מיקומי CRL שונים עבור כל תעודה שהונפקה לבעלי רשויות כפופות.

    קיום CRL בשורש הוא שיטה מומלצת אם שני PKIs סומכים זה על זה ומיפוי מדיניות נעשה. זה מאפשר לבטל את האישור.

    קבלת CRL & quotright & quot היא חשובה למדי מכיוון שעל כל יישום לבצע בדיקת CRL. לדוגמא, כניסה של כרטיס חכם בבקרי תחום תמיד אוכפת את בדיקת הביטול ותדחה אירוע כניסה אם לא ניתן לבצע את בדיקת הביטול או נכשלת.

    הערה אם לא ניתן לאמת תעודה כלשהי בשרשרת או שנמצאת מבוטלת, כל השרשרת מקבלת את מעמדה של אותה תעודה אחת.

    רשות אישורים בסיסית בחתימה עצמית לא אמורה לרשום שום CDP. מרבית יישומי Windows אינם מאפשרים את דגל CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT ולכן מתעלמים מ- CDP (זהו מצב האימות המוגדר כברירת מחדל). אם הדגל מופעל וה- CDP ריק עבור אישור השורש החתום על עצמו, לא מוחזרת שום שגיאה.

    אל תשתמש ב- HTTPS ו- LDAPS. כתובות אתרים אלה אינן נתמכות עוד כהפניות לנקודות הפצה. הסיבה היא שכתובות אתרים של HTTPS ו- LDAPS משתמשות באישורים שניתן לבטל או לא. תהליך בדיקת הביטול יכול לגרום לולאות ביטול כאשר נעשה שימוש בכתובות URL של HTTPS או LDAPS. כדי לקבוע אם האישור מבוטל, יש לאחזר את ה- CRL. עם זאת, לא ניתן לאחזר את ה- CRL אלא אם כן נקבע מצב הביטול של האישורים המשמשים HTTPS או LDAPS.

    שקול להשתמש ב- HTTP במקום ב- LDAP. למרות ש- AD DS מאפשר פרסום של CRL לכל בקרי התחום ביער, יש ליישם HTTP במקום LDAP לפרסום מידע לביטול. רק HTTP מאפשר שימוש ב- ETag ו- Cache-Control: כותרות מקסימום גיל המספקות תמיכה טובה יותר עבור פרוקסי מידע ומידע ביטול מתוזמן יותר. בנוסף, HTTP מספק תמיכה הטרוגנית טובה יותר מכיוון ש- HTTP נתמך על ידי מרבית לקוחות Linux, UNIX ומכשירי רשת.

    סיבה נוספת לא להשתמש ב- LDAP היא מכיוון שחלון הביטול יהיה קטן יותר. בעת שימוש ב- AD LDAP לשכפול מידע CA, חלון הביטול לא יכול היה להיות פחות מהזמן של כל האתרים ב- AD לקבל את עדכון ה- CA. לעתים קרובות שכפול זה עשוי להימשך עד 8 שעות. כלומר 8 שעות עד לביטול הגישה של משתמש בכרטיס חכם. זמן רענון CRL המומלץ החדש הוא:. `

    הפוך את כל כתובות ה- URL לזמינות ביותר (אל תכלול LDAP למארחים חיצוניים). Windows יאט את תהליך האימות למשך עד 20 שניות וינסה שוב את החיבור שנכשל שוב ושוב לפחות בתדירות של כל 30 דקות. אני חושד כי אחזור מראש יגרום לכך להתרחש גם אם המשתמש אינו משתמש באתר באופן פעיל.

    עקוב אחר גודל ה- CRL שלך. אם אובייקט CRL כל כך גדול ש- CryptoAPI אינו מסוגל להוריד את האובייקט בסף הזמן הקצוב המרבי המוקצב, מוחזרת שגיאת "ביטול לא מקוון" והורדת האובייקט מסתיימת.

    הערה: הפצת CRL דרך HTTP עם תמיכת ETAG עלולה לגרום לבעיות ב- IE6 בעת שימוש ב- Windows 2003 / IIS6, שם חיבור ה- TCP מאופס ללא הרף.

    • (אופציונלי) אפשר CRL טרי ביותר: סיומת לא קריטית זו מפרטת את המנפיקים והמיקומים מהם ניתן לאחזר את ה- CRL של דלתא. אם המאפיין "CRL הכי חדש" אינו קיים ב- CRL וגם לא בתעודה, אז יטופל CRL הבסיס כ- CRL רגיל, ולא כחלק מצמד CRL / Delta CRL בסיסי.

    ה- CA של מיקרוסופט אינו מכניס את סיומת "Freshest CRL" לתעודות שהונפקו. עם זאת, ניתן להוסיף את התוסף "הכי טרי CRL" לתעודה שהונפקה. יהיה עליך לכתוב קוד כדי להוסיף אותו לבקשה, לכתוב מודול מדיניות מותאם אישית, או להשתמש ב- certutil –setextension על בקשה בהמתנה. לקבלת מידע נוסף אודות הרשמת אישורים מתקדמת, עיין בתיעוד "הרשמה וניהול אישורים מתקדמים" באתר האינטרנט של מיקרוסופט

    אזהרה אם CRL דלתא מופעלים ב- CA, יש לבדוק את ה- CRL הבסיסי ו- CRL delta כדי לקבוע את מצב הביטול של האישור. אם אחד מהשניים, או שניהם, אינם זמינים, מנוע השרשור ידווח שלא ניתן לקבוע את מצב הביטול, ויישום עשוי לדחות את האישור.

    גודל ותחזוקת CRL (חלוקת CRL)

    CRL יגדל 29 בתים עבור כל תעודה שתבטל. בהתאם לכך, אישורים שבוטלו יוסרו מ- CRL כאשר האישור יגיע לתאריך התפוגה המקורי שלו.

    מכיוון שחידוש תעודת CA גורם ליצירת CRL חדש / ריק, רשויות רשויות מנפיקות עשויות לשקול לחדש את ה- CA במפתח חדש בכל אישורי 100-125K כדי לשמור על גודל CRL סביר. מספר הנפקה זה מבוסס על ההנחה שכ -10 אחוזים מהאישורים שהונפקו יבוטלו לפני תאריך התפוגה הטבעי שלהם. אם שיעור הביטול בפועל או המתוכנן גבוה או נמוך יותר בארגון שלך, התאם את אסטרטגיית חידוש המפתח בהתאם. עוד מידע

    שקול גם לחלק את ה- CRL בתדירות גבוהה יותר אם התפוגה היא יותר משנה או שנתיים, שכן הסבירות לביטול עולה.

    החיסרון בכך הוא זמני ההפעלה המוגברים, שכן כל תעודה מאומתת על ידי השרת.

    אמצעי אבטחה של CRL

    אם אתה משתמש ב- CRL, אל תחתום על ה- CRL באמצעות MD5. מומלץ גם להוסיף רנדומיזציה למפתח החתימה CRL.

    גישה למידע הרשות

    שדה זה מאפשר למערכת המשנה לאימות אישורים להוריד אישורים נוספים לפי הצורך אם הם אינם תושבים במחשב המקומי.

    שורש CA בעל חתימה עצמית לא אמור לרשום מיקומי AIA (ראה סיבה כאן)

    מקסימום חמש כתובות אתרים מותרות בתוסף AIA עבור כל תעודה בשרשרת האישורים. בנוסף, תומכים גם 10 כתובות אתרים לכל היותר עבור כל שרשרת האישורים. מגבלה זו על מספר כתובות ה- URL נוספה כדי להקל על השימוש הפוטנציאלי בהתייחסויות "גישה לרשות מידע" בהתקפות של מניעת שירות.

    אל תשתמש ב- HTTPס ו- LDAPס. כתובות אתרים אלה אינן נתמכות עוד כהפניות לנקודות הפצה. הסיבה היא שכתובות אתרים של HTTPS ו- LDAPS משתמשות באישורים שניתן לבטל או לא. תהליך בדיקת הביטול יכול לגרום לולאות ביטול כאשר נעשה שימוש בכתובות URL של HTTPS או LDAPS. כדי לקבוע אם האישור מבוטל, יש לאחזר את ה- CRL. עם זאת, לא ניתן לאחזר את ה- CRL אלא אם כן נקבע מצב הביטול של האישורים המשמשים HTTPS או LDAPS.

    אפשר אימות OCSP

    המגיב OCSP נמצא בדרך כלל בכתובת: http: // & ltfqdn של המגיב ocsp & gt / ocsp. כתובת URL זו צריכה להיות מופעלת ב- AIA. עיין בהוראות אלה עבור Windows.

    דע כי אימות מלא של OCSP אינו פעיל כברירת מחדל (אם כי הוא אמור להיות & quoton & quot עבור תעודות EV על פי המפרט). בנוסף, הפעלת בדיקת OCSP אכן מוסיפה זמן אחזור לחיבור הראשוני

    משך המטמון של OCSP

    כל פעולות ה- OCSP מתרחשות באמצעות פרוטוקול HTTP ולכן כפופות לכללי מטמון proxy של HTTP טיפוסיים.

    באופן ספציפי כותרת ה- Max-age מגדירה את הזמן המרבי ששרת proxy או לקוח יאחסן במטמון בתגובת CRL או OCSP לפני השימוש ב- GET מותנה כדי לקבוע אם האובייקט השתנה. השתמש במידע זה כדי לקבוע את תצורת שרת האינטרנט להגדרת הכותרות המתאימות. חפש במקומות אחרים בעמוד זה פקודות ספציפיות ל- AD-IIS.

    הגדר מדיניות בתעודות שהונפקו

    ה- CA האב מגדיר אם לאפשר מדיניות אישורי CA מ- CAs משנה. ניתן להגדיר הגדרה זו כאשר צריך לכלול מנפיק או מדיניות יישום ברשומת משנה משנה.

    מדיניות לדוגמא כוללת EKU לאימות SmartCards, אימות או אימות SSL / שרת.

    היזהר מתעודות ללא סיומת מדיניות האישורים מכיוון שהיא עלולה לסבך את עץ המדיניות. ראה RFC 5280 למידע נוסף

    דע כי מיפוי מדיניות יכול להחליף מדיניות אחרת בנתיב

    ישנה מדיניות מיוחדת הנקראת anypolicy שמשנה את העיבוד

    יש הרחבות שמשנות את המדיניות

    אם אתה משתמש במדיניות אישורים, הקפד לסמן אותם כקריטיים, אחרת תקף_מדיניות_מחשב הופך ריק, והופך את המדיניות להערה מהוללת.

    עקוב אחר אכיפת אורך DN

    המפרט המקורי של CCITT עבור שדה OU אומר כי עליו להיות מוגבל ל -64 תווים. בדרך כלל, CA אוכף x.500 תקני אורך שמות בנושא הרחבת הנושאים של אישורים לכל הבקשות. יתכן ונתיבי OU עמוקים עשויים לחרוג ממגבלות האורך הרגילות.

    נקודות חלוקת תעודות צולבות

    תכונה זו מסייעת למקומות שבהם סביבות צריכות להתקין שני PKI, אחת לחומרה / תוכנה מדור קודם שאינה תומכת בקריפטוגרפיה מודרנית, ו- PKI נוסף למטרות מודרניות יותר.

    הגבל את ה- EKU

    בניגוד ל- RFC 5280 שקובע "באופן כללי, [sic] סיומת ה- EKU תופיע רק בתעודות ישות סופיות. & Quot זה רעיון טוב לשים אילוצים לשימוש במפתח CA.

    אישור CA עצמאי אופייני יכלול הרשאות ליצירת חתימות דיגיטליות, חתימת אישורים וחתימת CRL כערכי מפתח. זה חלק מהבעיה עם בעיית האבטחה של FLAME.

    • כרטיס חכם של מיקרוסופט EKU
    • הצפנת מפתח ציבורי עבור לקוח אימות ראשוני (PKINIT) אימות EKU, כהגדרתו ב- PKINIT RFC 4556

    יש לו גם אילוצים מעניינים סביב אימות EKU (קישור tbd).

    אם אתה מעוניין במגבלות EKU כלשהו, ​​עליך לראות תשובה זו בנוגע ל- OID ולנוגע לתעודות מוגבלות

    נזהר באילוצים בסיסיים & quotPath & quot

    כפיפות מוסמכת לבעלי מקצועות ביניים ביניים

    כדי להגביל את סוגי האישורים ש- subCA יכולה להציע ראה קישור זה ואחד זה

    אם נעשית כפיפות מוסמכת, ביטול שורש חתום צולב עשוי להיות קשה מכיוון שהשורשים אינם מעדכנים את ה- CRL לעתים קרובות.

    מזהה מפתח סמכות / מזהה מפתח נושא

    הערה אם סיומת AKI של תעודה מכילה KeyID, CryptoAPI דורש מאישור המנפיק להכיל SKI תואם. זה שונה מ- RFC 3280 כאשר התאמה בין SKI ל- AKI היא אופציונלית. (מטלה: מדוע מישהו יבחר ליישם זאת?)

    תן לשורש ול- CA שם משמעותי

    אנשים יקיימו אינטראקציה עם האישור שלך בעת הייבוא, סקירת האישורים המיובאים ופתרון בעיות. הנוהג והדרישה המומלצים של MSFT הם שלשורש יהיה שם משמעותי שמזהה את הארגון שלך ולא משהו מופשט ונפוץ כמו CA1.

    החלק הבא הזה חל על שמות של Intermediate / subCA שיוגבלו למטרה מסוימת: אימות לעומת חתימה לעומת הצפנה.

    באופן מפתיע, משתמשי קצה וטכנאים שאינם מבינים את הניואנסים של PKI יתקשרו עם שמות השרתים שתבחרו בתדירות גבוהה יותר מכפי שנדמה לכם אם אתם משתמשים ב- S / MIME או בחתימות דיגיטליות (וכו ').

    אני אישית חושב שזה רעיון טוב לשנות את שם האישורים להנפקה למשהו ידידותי יותר למשתמש כמו & quotCompany Signer 1 & quot, שם אוכל לדעת במבט חטוף

    • ממי תגיע החתימה (טקסס A & ampM או היריבה שלהם)
    • למה זה משמש? הצפנה לעומת חתימה

    חשוב להבדיל בין הודעה שהוצפנה בין שני צדדים לבין הודעה שנחתמה. דוגמה אחת שבה זה חשוב היא אם אוכל לגרום לנמען להדהד הצהרה שאני שולח להם. משתמש A יכול לומר למשתמש B & quotA, אני חייב לך 100 $ & quot. אם ב 'הגיב בהד של ההודעה הזו עם המפתח הלא נכון, הם למעשה אישרו דיגיטלי (לעומת הצפנה בלבד) חוב פיקטיבי של 100 דולר.

    להלן תיבת דו-שיח של משתמשים עבור S / MIME. צפו בממשקי משתמש דומים עבור אישורים מבוססי Brower. שימו לב כיצד שם המנפיק אינו ידידותי למשתמש.

    קידודים חלופיים

    הערה: אם כבר מדברים על שמות, אם קישור כלשהו בשרשרת משתמש בקידוד חלופי, ייתכן שלקוחות לא יוכלו לאמת את שדה המנפיק לנושא. Windows אינו מנרמל מחרוזות אלה במהלך השוואה, לכן ודא ששמות ה- CA זהים מנקודת מבט בינארית (בניגוד להמלצת RFC).

    פריסות אבטחה גבוהה / סוויטה B

    אלגוריתם סוד העליון סוד

    הצפנה: תקן מתקדם (AES) 128 ביט 256 ביט

    חתימה דיגיטלית: עקומת אליפטי אלגוריתם חתימה דיגיטלית (ECDSA) 256 סיביות. עקומת 384 סיביות

    Key Exchange: Elliptic Curve Diffie-Hellman (ECDH) 256 bit curve. 384 bit curve

    Hashing: Secure Hash Algorithm (SHA) SHA-256 SHA-384

    For Suite B compliance, the ECDSA_P384#Microsoft Software Key Service Provider as well as the 384 key size and SHA384 as the hash algorithm may also be selected if the level of classification desired is Top Secret. The settings that correspond with the required level of classification should be used. ECDSA_P521 is also available as an option. While the use of a 521 bit ECC curve may exceed the cryptographic requirements of Suite B, due to the non-standard key size, 521 is not part of the official Suite B specification.

    XP clients and many non-windows systems do not support this new signature format. This should be disabled if older clients need to be supported. More Info

    I would only recommend using it once you move to ECC algorithms for asymmetric encryption. (source)

    Protect Microsoft CA DCOM ports

    The Windows Server 2003 CA does not enforce encryption on the ICertRequest or ICertAdmin DCOM interfaces by default. Normally, this setting is not required except in special operational scenarios and should not be enabled. Only Windows Server 2003 machines by default support DCOM encryption on these interfaces. For example, Windows XP clients will not by default enforce encryption on certificate request to a Windows Server 2003 CA. source

    CNG private key storage vs CSP storage

    If you enroll Certificate Template v3, the private key goes into the CNG private key storage on the client computer. If you enroll Certificate Template v2 or v1, the private key goes into CSP storage. The certificates will be visible to all applications in both cases, but not their private keys - so most applications will show the certificate as available, but will not be able to sign or decrypt data with the associated private key unless they support CNG storage.

    You cannot distinguish between CNG and CSP storages by using the Certificate MMC. If you want to see what storage a particular certificate is using, you must use CERTUTIL -repairstore my * (or CERTUTIL -user -repairstore my * ) and take a look at the Provider field. If it is saying ". Key Storage Provider", than it is CNG while all other providers are CSP.

    If you create the initial certificate request manually (Create Custom Request in MMC), you can select between "CNG Storage" and "Legacy Key" where legacy means CSP. The following is my experience-based list of what does not support CNG - you cannot find an authoritative list anywhere, so this arrises from my investigations over time:

    EFS Not supported in Windows 2008/Vista, Supported in Windows 7/2008R2

    user encryption certificates

    VPN/WiFi Client (EAPTLS, PEAP Client)

    Windows 2008/7 Not supported with user or computer certificate authentication

    TMG 2010 server certificates on web listeners

    Outlook 2003 user email certificates for signatures or encryption

    Kerberos Windows 2008/Vista- DC certificates

    System Center Operations Manager 2007 R2

    System Center Configuration Manager 2007 R2

    Forefront Identity Manager 2010 Certificate Management

    More information on CNG compatibility is listed here (in Czech, though Chrome handles the auto-translation well)

    Smart Cards & Issuing CAs

    If you plan on giving users a second smart card for authentication, use a second issuer CA for that. Reason: Windows 7 requirements

    Use the Windows command CERTUTIL -viewstore -enterprise NTAuth for troubleshooting Smartcard logins. The local NTAuth store is the result of the last Group Policy download from the Active Directory NTAuth store. It is the store used by smart card logon, so viewing this store can be useful when troubleshooting smart card logon failures.

    Decommissioning a PKI Tree

    If you deploy two PKI trees, with the intent to decommission the legacy tree at some point (where all old devices have become obsolete or upgraded) it may be a good idea to set the CRL Next Update field to Null. This will (should?) prevent the continual polling for new CRLS to the clients. The reasoning is that once the PKI is decommissioned, there will be no more administration, and no more revoked certs. All remaining certs are simply left to expire.


    The answer to your question is כן. You must convert the X.509 into a PFX and import it. There is no separate key store in Windows.

    You can convert your certificate using OpenSSL with the following command:

    In Windows, you פחית have private keys "by themselves". Programmatically, you use CryptAquireContext() to access a key "by name". The CryptoAPI contains many functions which allow you to import and use keys, independently of certificates.

    However, there is no existing graphical interface or file format for handling private keys, and applications do not use keys by name. They use certificates. Certificates, in Windows, are stored "elsewhere", but each certificate in the "My" store can optionally contain a link to a corresponding private key (the link would really be a CSP name, and name of a container within that CSP). This maps to what is expected in various protocols. For instance, in SSL, when the server requests a client authentication with a private key, it actually asks for a certificate: the client must present a certificate, and then, only then, demonstrate that it also has access to the corresponding private key.

    Thus, in practice, certificates and keys "live together" and keys are reached only through certificates. A certificate and its private key travel together, and this means a PKCS#12 file (aka "PFX").


    The easiest way is running xelatex instead of pdflatex . It detects itself PostScript code or eps images in the document and does the conversion on the fly. If you do not want to use xelatex then there are other solutions:

    If you have an up-to-date TeX distribution use

    and then run your document with pdflatex -shell-escape <file> . Then the PSTricks images are created on-the-fly as stand alone pdf images and saved in <file>-pics.pdf . If you have an older system use

    For Windows you have to install a Perl version, if you want to use the full power of the auto-pst-pdf package. However, if you do not want or cannot install Perl then use

    There is also a Perl script pst2pdf which can create the document with pdflatex and also the PSTricks images as pdf|png|whatever images. It takes the preamble of the main document and creates stand-alone-documents for all PostScript specific code.


    ProxyCommnad

    So for a concrete example, say you have access to a server with IP 0.0.1.2 with a user account named bar (Server C). But to get to it you have to first login to a server with IP 0.0.1.1 with user account named foo (Server B). Now you want to copy file baz.txt located on your current machine (Machine A) to server 0.0.1.2 's /home/bar/ directory. To use the above ProxyCommand for this example you would execute the following:

    You can also just as easily copy a file from Server C by switching the order of the file and destination. So for example, if baz.txt was already on server 0.0.1.2 located at /home/bar/ then you could copy it to your machine using:

    Hope this helps people that need things spelled out for them a bit more than others.


    There are three types of certificate stores in Windows.

    Each of the three stores contain a number of folders which certificates go into

    • Personal (can be known as My when using scripts to add certs)
    • Trusted Root Certification Authority (can be known as Root)
    • Enterprise Trust
    • Intermediate Certification Authority
    • Active Directory User Object
    • Trusted Publishers
    • Untrusted Certificates
    • Third Party Root Certification Authorities
    • Trusted People

    These can be seen if you open up an mmc.exe with the Certificates snapin.

    Depending on what the certificate is meant to be doing you have to work out where it would go.

    Most of the time on the servers we support we use the Computer Account store (as its accessible by all users on a Computer) and put certificates in the Personal store. Some times you might need to add in the signing authority public key certs into the Root and Intermediate Root CAs.


    צפו בסרטון: Menerbitkan Layanan ke Server ArcGIS (אוֹקְטוֹבֶּר 2021).