Tomasz Onyszko wrote:
> Pawel, zauwaz tylko ze certyfikat ludzika jest wystawiony przez external
> auth .. to znaczy oni maja CA poza swoja siecia, calkowicie niezaleznie
> i ludzik ktory loguje sie w domenie pobiera z tego zewnetrznego CA
> certyfikat ktory po prostu instaluje u siebie na komputerku.
To nie ma większego znaczenia prawdę mówiąc. Efektem "końcowym" jest
certyfikat, który jest instalowany w profilu użytkownika. Zarówno sam
certyfikat z kluczem publicznym, jak i klucz prywatny. Klucz prywatny
jest chroniony przez DPAPI, więcej informacji tutaj (sorry za długiego
linka, nie przepadam za skracaczami):
Mówiąc ogólnie (bez wdawania się w szczegóły) - klucze prywatne
certyfikatów są chronione przy pomocy hasła użytkownika (bla bla bla,
tak na prawdę nie konkretnie hasła, ale to jest inna bajka). W przypadku
zmiany hasła klucze są rozszyfrowywane, a następnie szyfrowane nowym
kluczem wygenerowanym na podstawie innego hasła. Właśnie dlatego w
sytuacji, gdy jesteś poza domeną Windows XP przy próbie resetowania
hasła użytkownika wydziera się olbrzymim dialogiem z ostrzeżeniem, co
się może stać, jeśli hasło zostało zresetowane, dlatego też w XP
pojawiła się dyskietka resetująca hasło. W przypadku domeny jest
inaczej, jest dodatkowy system "recovery" zaszyfrowanych danych.
Innymi słowy - o ile nie ma "czarów" to zarówno certyfikat jak i klucz
prywatny przechowywane są na stacji użytkownika w jego profilu. Od ruchu
sieciowego bym się tutaj odstosunkował, ale może po prostu czegoś nie
zauważam. Natomiast poleciłbym zapoznanie się na przykład z tym:
http://support.microsoft.com/default.aspx?scid=kb;en-us;309408
Opcjonalnie: http://support.microsoft.com/?id=331333#kb2 (czy domena
jest w trybie Native)
-- Paweł Goleń mailto:p_golen@ks.onet.pl "Wszyscy przecież wiemy, że nikt nie dostaje żadnych spamów" - mój trol UGVybCBTVUNLUw==Received on Tue Dec 28 11:55:22 2004
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Tue 28 Dec 2004 - 12:42:07 MET