A je to tu! Rozhodl jsem se, že takový div musím zdokumentovat! Desítky novinek v certifikační autoritě! Jednotky Active Directory Certificate Services (AD CS) bojující ve vnějším okraji získávají převahu nad separatisty, kteří ustupují do hyperprostoru! Anakyn Skajvolkr a jeho mladá padavanka Asoka Tano vyrážejí nainstalovat další AD CS! Tentokrát využijí novou sílu Windows 2012.
Tedy člověk by aspoň řekl, že tam prostě musí být něco nového! Tak se pojďmě spolu podívat na tu jednu novinky, kterou se mi podařilo vystopovat. Ty ostatní tam ale musí být někde schované, mršky.
Nejprve instalace
Zbrusu nová instalace vás chytne u srdce. Hned na první obrazovce je jedna úžasná novinky. Můžete si zadat login a heslo uživatele, pod kterým se má ta instalace provést.

To je opravdu nesnesitelně dokonalé. Trošku zamrzí, že to zase musí být člen Enterprise Admins. Jako kdyby nešlo v ADčku jenom ty 3 kontejnery připravit pomocí nějakého baťáčku (pauršeláčku) a tu instalaci delegovat. Takže jako vždy, po instalaci toho chlápka z Enterprise Admins odebereme a ručně správu autority delegujeme.
Následuje několik naprosto nečekaných obrazovek, ze kterých se mi až tají dech:


A zde poutníče postůj a zvěstuj všem, že ani výchozí algoritmy se nezměnily od Windows 2008 (tedy od roku 2007). Jak vidno, MS si stále dobře uvědomuje, jak zákazníci mají Windows XP a jak nebudou a nebudou ty potvory přecházet na novější Windows. Separatisti jedni. Kdyby tak radši zaplatili a koupili si Windows 8. Takových výhod to musí mít, když to je nový systém, ne?
A pokračujeme ve zbězilé jízdě tou závratnou instalací:


Ajajaj. A jsme téměř na konci. A přitom to, po čem replublikoví klonoví bojovníci nejvíc toužili, tedy možnost necpat tu autoritu přímo do úložiště NTAuth Store, se nestalo skutečností. Škoda, všechna vyjednávání selhala. Drojdská armáda separatistů zaznamenává malé vítězství.

A jaké to je překvapení. Dokonce i seznam výchozích šablon certifikátů je úplně stejný! Tento velmi inteligentní nápad, že se rovnou po instalaci začnou vydávat různé druhy certifikátů mě opravdu oslnil. To sem musel už v dávných dobách propašovat nějaký špion separatistů.

A jak je vidět, i vlastnosti certifikační autority jsou pořád stejné. Ale když Anakyn Skajvolkr otevře konzoli Certificate Templates, nestačí valit oči. Od takového překvapení ho ani jeho obrovská síla neuchránila.
Když se pokusíte duplikovat šablonu, ono se to nezeptá na verzi. Místo toho bylo republikovými vědci vylepšeno celé rozhraní úpravy šablony. Nyní si můžete zvolit její kompatibilitu - tedy vybrat, ze které verze certifikační autority se mají certifikáty vydávat. A také, pro které klienty je šablona určena. Rozhraní se potom příslušným způsobem změní.
Tak to je ta novinka? Ne, je možné, že to mnoha lidem ušetří bezesné noci laděním CNG certifikátů, které skoro nikde nefungují. Ale stejně tam není kompatibilita pro aplikace. Takže i když budete valit SQL Server 2012 na Windows 2012, přesně podle nastavení, tak vám to stejně nebude fungovat :-)
Celkově řečeno - jestli vyberete, že klientem je Windows Vista/2008 nebo novější, jste prokleti. Pohltí vás temná strana síly!
Anakyn se však nezalekl a přepnul to.

A vida ho. Hned na první záložce na něho vyskočilo zaškrtávátko Renew with the same key. Neuvěřitelný luxus! Tohle jsme potřeboval už deset let. Každou noc jsem o tom snil!

Na další tabulce je hláška Legacy cryptographic services provider - tedy CSP. To je dobrá sranda. Takže Microsoft si rovnou odsoudil svůj SQL Server 2012, UAG 2010, VPN klienta na Windows 7, EFS a Kerberos na Windows 2008 a mnoho dalších do starého železa :-) Tihle kámoši s novým CNG nefungují, takže jsou to asi teda taky ti "legacy".
A teprve zde vidíme tu jedinou skutečnou novinku. Jedná se o tak zvaný key based renewal. To znamená, že pro vydání "pokračovacího" certifikátu není potřeba se ověřovat jako Windows uživatel, ale stačí, když ten požadavek podepíšete již existujícím certifikátem. To je teda žrádlo. Parádní inovace.
A blížíme se do finále a pomalu vystupujeme z hyper prostoru.
A na konci tunelu vidíme, že tabulka se Subject a Subject Alternative Name se také nezměnila. Škoda. Těšil sem se, že tam třeba přidají nějaké nové možnosti. Jako že by se do certifkátů dalo vložit třeba display name, nebo adresa, nebo číslo zaměstnance. Blbóst. To nikdo nepotřebuje.
Úsilí republikových bojovníků se nekonalo
Mě by zajímalo, jak ten PKI tým v Microsoftu vlastně vypadá. Oni tam zřejmě vždycky tak měsíc před vydáním nových Windows najmou nějakého externistu, aby něco dodělal. Ten sedne a nakodí jedno zaškrtávátko. Vyfakturuje 2000 mendejů a tradá!
Těšil jsem se, že by mohli doplnit třeba toto:
- když už máš certifikát, žádný další nedostaneš
- nebo když máš certifikát a vydáš si další, ten původní se automaticky zneplatní
- display name a další atributy z ADčka do certifikátů
- regulární výrazy na kontrolu Subject a SAN u manuálních požadavků
- inteligentnější rozhraní pro prohlížení certifikátů, které umí zobrazit posuvník ve správné velikosti
- AD site awareness pro přístup k CA
A nějaké další fíčury. Tak zřejmě ne. Někdy příště naschledanou. A víš co, Luku, použij sílu kurva, a neremcej furt.