Certificate Authority felderítése

Biztosan sokan futottak már bele olyan problémába, hogy egy ügyfél rendszerébe belépve szükség lenne a Certification Authority kiszolgálók felderítésére (pláne ha az ügyfél nem is tudja hogy van CA-ja és hol…)

Az alábbi rövid parancs ilyenkor segít nekünk. Futtassuk le cmd-ből bármelyik domain member gépről:

certutil -config – -ping

Megkapjuk a működő CA-k nevét illetve szerverét:

OneDrive- hozzáférés megtagadva

Egy gyors esetleírás.

Környzetet: a felhasználók használják az OneDrive-ot, és a Desktop/Documents/Pictures mappa is oda van irányítva (lásd cikk: OneDrive mint felhasználói backup | Zoltan Istvanffy’s IT Blog (istvanffyzoltan.com)

A gépek Microsoft Endpoint Management-tel (Intune) menedzseltek, Windows Information Protection policy beállítva.

Hibajelenség: nem lehet új file-t létrehozni az OneDrive folderekben, hozzáférés megtagadva hibaüzenettel.

Megoldás:

A WIP-policyben meghatározott Data Recover Agent tanúsítványa lejárt.

Cseréljük ki a DRA tanúsítványt, és újra működőképes lesz az OneDrive.

Certificate érvényességi idejének módosítása

Kezdő CA-üzemeltetőként belefutottam egy problémába:

Szerettem volna egy tanúsítványt 5 évre kiadni. Megnéztem a template-ek között, átállítottam a Validity Periodot, Apply, OK

A tanúsítványt kiállítottam, jött a meglepetés: az érvényességi ideje bizony csak 2 év lett, nem 5.

A megoldás persze triviális volt: mivel ez a CA nem egy CAPolicy.inf file segítségével lett telepítve, alapból 2 év az érvényessége a kiadott certeknek.

Ezt módosítani így lehet:

A CA-n át kell írni a lenti registry kulcsot:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

ValidityPeriod értéke legyen Years

ValidityPeriodUnits értéke pedig a kívánt érték, pl 5

Kell még egy:        net stop certsvc
net start certsvc

Eután ha kiadjuk a tansúítványt, immár 5 évre fog szólni az érvényessége.

Nem egy nagy dolog, de bosszantó tud lenni 🙂

Bitlocker titkosítás smart card segítségével

A feladat adott volt: Bitlocker titkosítás a smart cardon elhelyezett tanúsítvány segítségével.

Első lépésben a Bitlocker Recovery Agentet definiáltam volna, ezen cikk alapján:

http://blogs.technet.com/b/askcore/archive/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives.aspx

A problémába ott ütköztem, hogy sehol nem találtam a kiemelt Extended Key Usage értékeket a CA szerveren, miközben a certificate template-et szerkesztettem:

A megoldás, hogy miként csalogassuk elő a hiányzó EKU-kat…a CA szerverre (illetve arra gépre, ahonnan a certificate template-eket szerkesztjük) telepíteni kell a Windows Feature-ök közül a Bitlocker Drive Encryption modult.

Parancssoros adminoknak:

ServerManagerCmd -install BitLocker -restart

A reboot után a kívánt EKU-k elérhetőek lesznek a certificate templateben.