Re: Certyfikaty w 2003 (dla Ekspertow)

Autor: Aleks Anisimow <kiebok1.SKASUJ_at_gazeta.pl>
Data: Tue 28 Dec 2004 - 12:38:51 MET
Message-ID: <cqrgkb$559$1@inews.gazeta.pl>
Content-Type: text/plain; charset=ISO-8859-2

Paweł Goleń <p_golen@ks.onet.pl> napisał(a):

> Tomasz Onyszko wrote:
> > Pawel, zauwaz tylko ze certyfikat ludzika jest wystawiony przez external
> > auth .. to znaczy oni maja CA poza swoja siecia, calkowicie niezaleznie
> > i ludzik ktory loguje sie w domenie pobiera z tego zewnetrznego CA
> > certyfikat ktory po prostu instaluje u siebie na komputerku.
>
> To nie ma większego znaczenia prawdę mówiąc. Efektem "końcowym" jest
> certyfikat, który jest instalowany w profilu użytkownika. Zarówno sam
> certyfikat z kluczem publicznym, jak i klucz prywatny. Klucz prywatny
> jest chroniony przez DPAPI, więcej informacji tutaj (sorry za długiego
> linka, nie przepadam za skracaczami):
>
> http://msdn.microsoft.com/library/default.asp?url=/library/en-
us/dnsecure/html/
> windataprotection-dpapi.asp
>
> Mówiąc ogólnie (bez wdawania się w szczegóły) - klucze prywatne
> certyfikatów są chronione przy pomocy hasła użytkownika (bla bla bla,
> tak na prawdę nie konkretnie hasła, ale to jest inna bajka). W przypadku
> zmiany hasła klucze są rozszyfrowywane, a następnie szyfrowane nowym
> kluczem wygenerowanym na podstawie innego hasła. Właśnie dlatego w
> sytuacji, gdy jesteś poza domeną Windows XP przy próbie resetowania
> hasła użytkownika wydziera się olbrzymim dialogiem z ostrzeżeniem, co
> się może stać, jeśli hasło zostało zresetowane, dlatego też w XP
> pojawiła się dyskietka resetująca hasło. W przypadku domeny jest
> inaczej, jest dodatkowy system "recovery" zaszyfrowanych danych.
>
> Innymi słowy - o ile nie ma "czarów" to zarówno certyfikat jak i klucz
> prywatny przechowywane są na stacji użytkownika w jego profilu. Od ruchu
> sieciowego bym się tutaj odstosunkował, ale może po prostu czegoś nie
> zauważam. Natomiast poleciłbym zapoznanie się na przykład z tym:
>
> http://support.microsoft.com/default.aspx?scid=kb;en-us;309408
> Opcjonalnie: http://support.microsoft.com/?id=331333#kb2 (czy domena
> jest w trybie Native)
>
>
>
Domena A jest w trybie 2000/2003.
A dla czego ten problem nie występował przed migracją domeny A na 2003?

Dziekie za chęć pomocy, zaczynam czytac te artykuly. 

-- 
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/
Received on Tue Dec 28 12:40:26 2004

To archiwum zostało wygenerowane przez hypermail 2.1.8 : Tue 28 Dec 2004 - 12:42:07 MET