Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Komentované zpravodajství - úžasné novinky v certifikační autoritě ve Windows 8
listopad 22
Komentované zpravodajství - úžasné novinky v certifikační autoritě ve Windows 8

A je to tu! Rozhodl jsem se, že takový div musím zdokumentovat! Desítky novinek v certifikační autoritě! Jednotky Active Directory Certificate Services (AD CS) bojující ve vnějším okraji získávají převahu nad separatisty, kteří ustupují do hyperprostoru! Anakyn Skajvolkr a jeho mladá padavanka Asoka Tano vyrážejí nainstalovat další AD CS! Tentokrát využijí novou sílu Windows 2012.

Tedy člověk by aspoň řekl, že tam prostě musí být něco nového! Tak se pojďmě spolu podívat na tu jednu novinky, kterou se mi podařilo vystopovat. Ty ostatní tam ale musí být někde schované, mršky.

Nejprve instalace

Zbrusu nová instalace vás chytne u srdce. Hned na první obrazovce je jedna úžasná novinky. Můžete si zadat login a heslo uživatele, pod kterým se má ta instalace provést.

To je opravdu nesnesitelně dokonalé. Trošku zamrzí, že to zase musí být člen Enterprise Admins. Jako kdyby nešlo v ADčku jenom ty 3 kontejnery připravit pomocí nějakého baťáčku (pauršeláčku) a tu instalaci delegovat. Takže jako vždy, po instalaci toho chlápka z Enterprise Admins odebereme a ručně správu autority delegujeme.

Následuje několik naprosto nečekaných obrazovek, ze kterých se mi až tají dech:

A zde poutníče postůj a zvěstuj všem, že ani výchozí algoritmy se nezměnily od Windows 2008 (tedy od roku 2007). Jak vidno, MS si stále dobře uvědomuje, jak zákazníci mají Windows XP a jak nebudou a nebudou ty potvory přecházet na novější Windows. Separatisti jedni. Kdyby tak radši zaplatili a koupili si Windows 8. Takových výhod to musí mít, když to je nový systém, ne?

A pokračujeme ve zbězilé jízdě tou závratnou instalací:

Ajajaj. A jsme téměř na konci. A přitom to, po čem replublikoví klonoví bojovníci nejvíc toužili, tedy možnost necpat tu autoritu přímo do úložiště NTAuth Store, se nestalo skutečností. Škoda, všechna vyjednávání selhala. Drojdská armáda separatistů zaznamenává malé vítězství.

A jaké to je překvapení. Dokonce i seznam výchozích šablon certifikátů je úplně stejný! Tento velmi inteligentní nápad, že se rovnou po instalaci začnou vydávat různé druhy certifikátů mě opravdu oslnil. To sem musel už v dávných dobách propašovat nějaký špion separatistů.

A jak je vidět, i vlastnosti certifikační autority jsou pořád stejné. Ale když Anakyn Skajvolkr otevře konzoli Certificate Templates, nestačí valit oči. Od takového překvapení ho ani jeho obrovská síla neuchránila.

Když se pokusíte duplikovat šablonu, ono se to nezeptá na verzi. Místo toho bylo republikovými vědci vylepšeno celé rozhraní úpravy šablony. Nyní si můžete zvolit její kompatibilitu - tedy vybrat, ze které verze certifikační autority se mají certifikáty vydávat. A také, pro které klienty je šablona určena. Rozhraní se potom příslušným způsobem změní.

Tak to je ta novinka? Ne, je možné, že to mnoha lidem ušetří bezesné noci laděním CNG certifikátů, které skoro nikde nefungují. Ale stejně tam není kompatibilita pro aplikace. Takže i když budete valit SQL Server 2012 na Windows 2012, přesně podle nastavení, tak vám to stejně nebude fungovat :-)

Celkově řečeno - jestli vyberete, že klientem je Windows Vista/2008 nebo novější, jste prokleti. Pohltí vás temná strana síly!

Anakyn se však nezalekl a přepnul to.

A vida ho. Hned na první záložce na něho vyskočilo zaškrtávátko Renew with the same key. Neuvěřitelný luxus! Tohle jsme potřeboval už deset let. Každou noc jsem o tom snil!

Na další tabulce je hláška Legacy cryptographic services provider - tedy CSP. To je dobrá sranda. Takže Microsoft si rovnou odsoudil svůj SQL Server 2012, UAG 2010, VPN klienta na Windows 7, EFS a Kerberos na Windows 2008 a mnoho dalších do starého železa :-) Tihle kámoši s novým CNG nefungují, takže jsou to asi teda taky ti "legacy".

A teprve zde vidíme tu jedinou skutečnou novinku. Jedná se o tak zvaný key based renewal. To znamená, že pro vydání "pokračovacího" certifikátu není potřeba se ověřovat jako Windows uživatel, ale stačí, když ten požadavek podepíšete již existujícím certifikátem. To je teda žrádlo. Parádní inovace.

A blížíme se do finále a pomalu vystupujeme z hyper prostoru.

A na konci tunelu vidíme, že tabulka se Subject a Subject Alternative Name se také nezměnila. Škoda. Těšil sem se, že tam třeba přidají nějaké nové možnosti. Jako že by se do certifkátů dalo vložit třeba display name, nebo adresa, nebo číslo zaměstnance. Blbóst. To nikdo nepotřebuje.

Úsilí republikových bojovníků se nekonalo

Mě by zajímalo, jak ten PKI tým v Microsoftu vlastně vypadá. Oni tam zřejmě vždycky tak měsíc před vydáním nových Windows najmou nějakého externistu, aby něco dodělal. Ten sedne a nakodí jedno zaškrtávátko. Vyfakturuje 2000 mendejů a tradá!

Těšil jsem se, že by mohli doplnit třeba toto:

  • když už máš certifikát, žádný další nedostaneš
  • nebo když máš certifikát a vydáš si další, ten původní se automaticky zneplatní
  • display name a další atributy z ADčka do certifikátů
  • regulární výrazy na kontrolu Subject a SAN u manuálních požadavků
  • inteligentnější rozhraní pro prohlížení certifikátů, které umí zobrazit posuvník ve správné velikosti
  • AD site awareness pro přístup k CA

A nějaké další fíčury. Tak zřejmě ne. Někdy příště naschledanou. A víš co, Luku, použij sílu kurva, a neremcej furt.

 

Comments

:D

Tak som sa dobre nepobavil rano uz davno :)
Ondrej Zilinec on 22.11.2012 10:03

manualy

celkom si viem predstavit ze by boli manualy pisane takymto stylom - podstatne prijemnejsie by sa citali :) - palec hore Ondrej
Milan Drobul on 12.12.2012 8:22

pozor na Windows XP

CA má standardně zapnutou zvýšenou bezpečnost - takže nevydáte certifikát pro Windows XP!
Pomůže:
certutil -setreg CA\InterfaceFlags -IF_ENFORCEENCRYPTICERTREQUEST
Tonda on 21.11.2013 8:48

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments