kilka drobiazgów na które ostatnio natrafiłem…

  • self-signed certificate wcale nie musi być taki bardzo ‚self’. w niektórych scenariuszach [np. hyper-v replication] najpierw tworzy się self-signed rootCA a potem za pomocą tego certu tworzy się kolejne. takie odzwierciedlenie prawdziwej struktury serwerów. wady pozostają – oczywiście nie ma w nich CDP i AIA więc są nieweryfikowalne
  • można ominąć takie wydumane struktury zaufania. można wygenerować pojedynczy self-signed i dodać go zarówno do computerMy oraz do Trusted Root CAs – dzięki temu będzie samo-weryfikowalny (;
  • z jakiegoś powodu nie dodano do systemu makecert’a – dziwne. od w2k8 [w końcu!] nie trzeba instalować reskitów i support toolsów bo niemal wszystko co potrzebne jest w systemie. brak makecerta jest imho niedopatrzeniem
  • w w8/2o12 jest cmdlet new-selfsignedcertificate. niestety bardzo prymitywny – można za jego pomocą wygenerować najprostsze certy SAN [subject alternative name]
  • w w8/2o12 pojawił się [w końcu!] dodatkowy snap-in dla cert store komputera: certlm.msc

jakie widziałem certy z najdalszą datą ważności? standardowo AD wystawia cert dla admina do szyfrowania EFS na 1oo lat. sporo. niemniej przy okazji ostatniego grzebactwa trafiłem na cert wygenerowany przez Windows Server 2o12… nie udało mi się ustalić przy jakiej okazji. to selfsigned zrobiony na potrzeby jakiejś usługi [jakiej?]:
cert 3o12
trzeba ustawić sobie w kalendarzu na kwiecień 25o6, żeby go odnowić…

ale trafiłem na rekordzistę chyba nie do pobicia. certy generowane przez SharePoint:
SP certificate

eN.