i
dengus
#вопрос Роман, у меня дежавю или уже когда-то видел Ваш вебинар по сертификации в Микротик?
В sstp вебинаре было немного с сертификатами.
Size: a a a
2020 June 02
AK
#вопрос может ли микротик сам хостить CRL списки?
АИ
#вопрос Есть ли возможность загрузить CRL вручную?
KK
Здравствуйте! Может-ли Микротик заменить утилиту EasyRSA?
💎
#вопрос Есть ли возможность загрузить CRL вручную?
куда и зачем?
CS
#вопрос Галочка Trusted зачем?
IB
#вопрос зачем для CA указывать DNS? + предыдущий вопрос не забудьте потом
АИ
Ну, например, у меня CA не на MT. Хочу взять оттуда сертификаты и CRL и закинуть их на MT, и чтобы MT проверял сертификат по такому CRL. Будет работать?
MT
io.sys
#вопрос
Какие протоколы шифрования считаются не очень надёжными, все кроме (1)SSL3 и (5)TLS2.0?
1) SSL3
2) TLS1.1
3) TLS1.2
4) TLS1.3
5) TLS2.0
Чат?
Какие протоколы шифрования считаются не очень надёжными, все кроме (1)SSL3 и (5)TLS2.0?
1) SSL3
2) TLS1.1
3) TLS1.2
4) TLS1.3
5) TLS2.0
Чат?
TLS1.1 уже не считается надёжным. Более того, нужно обращать внимание не только на версию протокола TLS, а так же на алгоритмы шифрования, среди них есть тоже ненадёжные, например TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
💎
Ну, например, у меня CA не на MT. Хочу взять оттуда сертификаты и CRL и закинуть их на MT, и чтобы MT проверял сертификат по такому CRL. Будет работать?
это не совсем так работает, у вас в сертификате указано куда ходить за CRL, все проверки будут проходить именно так
D
#вопрос А опубликовать CRL на МТ у нас никак не получится?
АИ
это не совсем так работает, у вас в сертификате указано куда ходить за CRL, все проверки будут проходить именно так
Вот как... А где мне нужно указать адрес CRL? В сертификате CA?
💎
#вопрос А опубликовать CRL на МТ у нас никак не получится?
если CA на MT то уже отвечали, на нём же и CRL хостится
СМ
#вопрос
я имел в виду МАКСИМАЛЬНЫЙ срок жизни сертификатов. Для всех он одинаков или, например, для СА сертификата можно указать 10 лет жизни, а подписанных им нельзя? Есть ли ограничения на максимальный срок жизни в стандартах или RouterOS?
я имел в виду МАКСИМАЛЬНЫЙ срок жизни сертификатов. Для всех он одинаков или, например, для СА сертификата можно указать 10 лет жизни, а подписанных им нельзя? Есть ли ограничения на максимальный срок жизни в стандартах или RouterOS?
I
#вопрос
То есть по факту, любая настройка микротик идёт с такой вот болванки?
То есть по факту, любая настройка микротик идёт с такой вот болванки?
АИ
Сергей Мазанов
#вопрос
я имел в виду МАКСИМАЛЬНЫЙ срок жизни сертификатов. Для всех он одинаков или, например, для СА сертификата можно указать 10 лет жизни, а подписанных им нельзя? Есть ли ограничения на максимальный срок жизни в стандартах или RouterOS?
я имел в виду МАКСИМАЛЬНЫЙ срок жизни сертификатов. Для всех он одинаков или, например, для СА сертификата можно указать 10 лет жизни, а подписанных им нельзя? Есть ли ограничения на максимальный срок жизни в стандартах или RouterOS?
В общем случае срок жизни сертификата меньше либо равен сроку жизни сертификата CA
V
Сергей Мазанов
#вопрос
я имел в виду МАКСИМАЛЬНЫЙ срок жизни сертификатов. Для всех он одинаков или, например, для СА сертификата можно указать 10 лет жизни, а подписанных им нельзя? Есть ли ограничения на максимальный срок жизни в стандартах или RouterOS?
я имел в виду МАКСИМАЛЬНЫЙ срок жизни сертификатов. Для всех он одинаков или, например, для СА сертификата можно указать 10 лет жизни, а подписанных им нельзя? Есть ли ограничения на максимальный срок жизни в стандартах или RouterOS?
порядка 7000 дней на все сертификаты (в микротике)
i
Igor
#вопрос
То есть по факту, любая настройка микротик идёт с такой вот болванки?
То есть по факту, любая настройка микротик идёт с такой вот болванки?
Если нужно шифровать сертификатами что-то и нет своего корневого CA , когда вообще PKI нет.
D
если CA на MT то уже отвечали, на нём же и CRL хостится
Это понятно, но если у нас CA был создан где-то еще, то либо поднимать доп. web сервер и там публиковать CRL, либо разместить там, где уже есть вебсервер. Вот можно его в МТ опубликовать или совсем никак
M
#вопрос
почему при создании клиентского сертификата мы не указали CA CRL Host.
почему при создании клиентского сертификата мы не указали CA CRL Host.