20T23 Certyfikat publicznego CA – Konfiguracja

Jak wygenerować certyfikat zaufany w przeglądarce?

Jak zainstalować wygenerowany certyfikat na kontrolerze bezprzewodowym?

Jeżeli szukasz odpowiedzi na powyższe pytania, to ten odcinek jest dla Ciebie.

Chcesz więcej informacji?

Dołącz do naszej strony fanów na Facebook:

Grupa na facebooku

Więcej miejsc do posłuchania:

 

Transkrypcja filmu:

0:00:01.515,0:00:04.405
Jeżeli jesteś ciekaw jak wygenerować
0:00:04.405,0:00:06.440
zaufany certyfikat publiczny
0:00:06.440,0:00:08.940
a następnie zaimplementować go
0:00:09.080,0:00:10.320
na urządzenie.
0:00:10.320,0:00:14.820
Ja w tym odcinku pokażę na przykładzie kontrolera bezprzewodowego Aruby
0:00:15.020,0:00:19.020
jak taki certyfikat można wygenerować i zainstalować.
0:00:19.620,0:00:22.660
Zacznijmy jednak od tego
0:00:22.660,0:00:26.260
przypadku, dlaczego warto ten certyfikat instalować.
0:00:26.260,0:00:29.120
Przede wszystkim są to przypadki użycia
0:00:29.120,0:00:32.260
związane z publicznym dostępem.
0:00:32.260,0:00:35.520
Czyli jeżeli mamy na przykład captive portal dla  gościa
0:00:35.520,0:00:37.555
to jego urządzenie
0:00:37.555,0:00:40.355
będzie się łączyło do sieci
0:00:40.355,0:00:43.395
z informacją, że certyfikat jest niezaufany,
0:00:43.395,0:00:46.515
jeżeli to będzie certyfikat podpisany
0:00:46.765,0:00:49.625
bez zaufanego urzędu certyfikacji.
0:00:49.885,0:00:52.985
Jak zatem taki certyfikat generujemy.
0:00:52.985,0:00:56.295
Po pierwsze zaczynamy od wypełnienia
0:00:56.340,0:00:59.960
takiej prośby o certyfikat, czyli CSR-a.
0:00:59.960,0:01:03.160
Możemy tutaj w tym CSR-ze przede wszystkim wpisać
0:01:03.160,0:01:05.280
common name, czyli nazwę
0:01:05.420,0:01:07.580
taką główną dla certyfikatu.
0:01:07.580,0:01:11.100
W moim przypadku może to być nazwa
0:01:11.100,0:01:14.900
vpnc netadminpro pl
0:01:15.600,0:01:19.240
Możemy te pozostałe pola również wypełnić.
0:01:21.460,0:01:22.960
Czyli tutaj jest,
0:01:26.800,0:01:30.480
tutaj są do wypełnienia te różne pola w certyfikacie.
0:01:30.480,0:01:33.080
Jeżeli wypełniamy CSR-a, to
0:01:33.080,0:01:36.020
klucz prywatny, który jest generowany w tym procesie
0:01:36.020,0:01:39.520
zostaje na tym urządzeniu. Więc jeżeli chcemy zapewnić możliwie
0:01:39.520,0:01:43.080
bezpieczny proces generowania certyfikatu,
0:01:43.080,0:01:46.055
tak żeby klucz prywatny był cały czas po naszej stronie,
0:01:46.060,0:01:49.580
to właśnie wypełnienie tego CSR-a jest taką metodą.
0:01:49.580,0:01:51.960
Czasem jednak wygodniej jest
0:01:51.960,0:01:55.280
generować ten klucz razem z CSR-em
0:01:55.280,0:01:58.340
po stronie urzędu, który to wystawia i pokażę również
0:01:58.340,0:02:00.555
taki scenariusz. Czyli jeżeli
0:02:00.555,0:02:03.775
popatrzymy sobie na sposób generowania CSR-a,
0:02:03.775,0:02:06.535
no to po prostu generujemy,
0:02:08.395,0:02:10.485
wypełnię tylko resztę pól.
0:02:33.955,0:02:36.965
I możemy wygenerować CSR-a,
0:02:36.965,0:02:38.425
jeszcze unit,
0:02:46.935,0:02:49.965
i widzimy tutaj, CSR jest wygenerowany
0:02:49.965,0:02:52.475
ma postać tekstową
0:02:52.480,0:02:54.800
możemy sobie tę postać tekstową skopiować,
0:02:54.800,0:02:56.800
ona za chwilę nam będzie potrzebna
0:02:56.800,0:02:58.820
do generowania certyfikatu.
0:02:58.820,0:03:02.380
Teraz się przełączę na urząd certyfikacji.
0:03:03.440,0:03:06.180
Ja używam tutaj
0:03:06.180,0:03:09.200
do celów testowych takiego
0:03:09.205,0:03:12.685
portalu, systemu certyfikacji – SSL for free.
0:03:12.900,0:03:16.800
Jest to możliwość wygenerowania certyfikatu zaufanego
0:03:16.800,0:03:19.900
bez opłat na 90 dni.
0:03:19.900,0:03:22.880
Jeżeli chcemy dłuższy to jest taka możliwość również,
0:03:22.880,0:03:24.825
ale trzeba dodatkowo
0:03:24.825,0:03:26.820
za tą możliwość zapłacić.
0:03:26.820,0:03:30.220
Więc generujemy certyfikat, klikając w urzędzie,
0:03:30.220,0:03:32.740
akurat tym tu przedstawionym – new certificate.
0:03:34.820,0:03:37.080
A następnie wpisujemy
0:03:37.080,0:03:39.340
jaką domenę chcemy mieć
0:03:39.340,0:03:41.720
tutaj zapewnioną.
0:03:50.965,0:03:52.985
Co jeszcze tutaj wypełniamy.
0:03:53.385,0:03:56.305
Możemy zmienić oczywiście długość, ten znaczek
0:03:56.305,0:03:57.840
oznacza, że trzeba zapłacić.
0:03:57.840,0:04:02.140
Czyli na 90 dni tutaj, w tym urzędzie możemy wystawić bez dodatkowych opłat.
0:04:02.420,0:04:05.240
Kolejny element to jest CSR.
0:04:05.245,0:04:08.255
Czyli teraz domyślnie mamy włączone, że
0:04:08.255,0:04:11.275
automatycznie CSR zostanie wygenerowany,
0:04:11.280,0:04:14.860
bazując na danych, które ja tutaj wprowadziłem do
0:04:14.860,0:04:18.620
tego konta, żeby można było wygenerować ten certyfikat.
0:04:18.620,0:04:20.420
Konto w tym systemie
0:04:20.420,0:04:23.260
wymaga podania pewnych danych,
0:04:23.260,0:04:26.660
z których po prostu ten urząd sobie automatycznie zaciąga
0:04:26.700,0:04:29.140
dane, tworząc CSR-a
0:04:29.140,0:04:32.080
samemu automatycznie tutaj na tym portalu.
0:04:32.660,0:04:35.755
Jeżeli mamy swojego CSR-a, to możemy wyłączyć
0:04:35.755,0:04:37.225
automatyczne generowanie.
0:04:37.765,0:04:40.645
I tutaj możemy wkleić po prostu CSR-a,
0:04:40.645,0:04:44.380
którego wygenerowaliśmy na tym naszym urządzeniu.
0:04:44.700,0:04:46.380
Więc zróbmy najpierw taki test.
0:04:50.760,0:04:54.200
Tu widzimy, że mamy różne opcje. Mnie interesuje ta darmowa.
0:04:54.200,0:04:56.420
Ważne jest to, żeby zwrócić uwagę,
0:04:56.420,0:05:00.020
że ten certyfikat będzie wygenerowany tylko na 90 dni.
0:05:00.020,0:05:02.020
Czyli mamy 90-dniowy certyfikat.
0:05:02.240,0:05:05.375
No i jeżeli mówimy o środowisku testowym
0:05:05.375,0:05:08.385
takim jak ja mam tutaj, to dla mnie 3-miesięczny certyfikat
0:05:08.385,0:05:10.740
jest zupełnie wystarczający.
0:05:10.740,0:05:14.715
Natomiast dla produkcyjnych środowisk, no to nie jest dobry pomysł,
0:05:14.715,0:05:17.825
dlatego że jeżeli mamy na przykład taki certyfikat
0:05:17.825,0:05:20.740
w dostępie gościnnym zainstalowany
0:05:20.740,0:05:23.100
a wygaśnie nam ten certyfikat
0:05:23.100,0:05:26.720
no to wtedy mamy problem, ponieważ  ci użytkownicy
0:05:26.960,0:05:29.900
będą dostawać błąd w przeglądarce dotyczący
0:05:29.900,0:05:31.860
nieważnego certyfikatu.
0:05:31.860,0:05:34.640
Więc jeżeli mówimy o produkcyjnych środowiskach
0:05:34.640,0:05:38.540
to instalujemy certyfikat płatny,
0:05:38.600,0:05:41.575
który jest na rok / na 3 lata, w zależności od urzędu
0:05:41.580,0:05:45.400
jaki używamy i jaki chcemy wykupić i taki certyfikat instalujemy.
0:05:45.400,0:05:47.160
Przejdźmy dalej.
0:05:47.980,0:05:50.600
Kolejnym krokiem weryfikacji,
0:05:50.600,0:05:53.480
że ta domena należy do mnie
0:05:53.580,0:05:57.460
jest możliwość wybrania adresu
0:05:57.460,0:05:59.235
z takich domyślnych,
0:05:59.240,0:06:02.660
które tutaj ten system certyfikacji
0:06:02.660,0:06:05.095
wspiera, czyli jeden z tych adresów muszę wybrać.
0:06:05.095,0:06:08.045
I na ten adres przyjdzie
0:06:08.045,0:06:10.975
e-mail, w którym trzeba kliknąć link, który potwierdza,
0:06:10.980,0:06:12.600
że ta domena jest moja.
0:06:12.700,0:06:16.240
Mogę tu jeszcze zmienić sposób weryfikacji,
0:06:16.240,0:06:18.560
Mogę zmienić na weryfikację przez DNS-a
0:06:18.800,0:06:22.280
i upload przez HTTP
0:06:22.280,0:06:25.080
w zależności od tego, jaką wersję
0:06:25.080,0:06:27.625
jest nam najwygodniej kliknąć. Ja wybiorę sobie
0:06:27.625,0:06:30.400
tą wersję przez e-mail.
0:06:30.400,0:06:33.715
Wysyłam next step. Tutaj jeszcze jeden krok jest potrzebny, żeby
0:06:33.720,0:06:34.980
ten e-mail wyszedł.
0:06:34.980,0:06:38.060
Czyli trzeba kliknąć verify domain.
0:06:42.885,0:06:45.855
I teraz widzimy, że status jest pending,
0:06:45.855,0:06:47.855
czyli ten e-mail został wysłany do nas
0:06:48.435,0:06:51.295
i wystarczy, że klikniemy e-mail
0:06:51.295,0:06:54.655
czy link w tym e-mailu, który jest załączony.
0:06:54.700,0:06:58.460
Tutaj nie zwróciłem uwagi wybierając e-mail do weryfikacji,
0:06:58.460,0:07:01.920
trzeba wybrać e-mail, na którym możemy ten,
0:07:02.420,0:07:04.040
tą pocztę odebrać.
0:07:04.040,0:07:07.140
W związku z tym jeszcze raz wyślę tą
0:07:07.580,0:07:10.915
weryfikację, tak żeby można było w tym e-mailu
0:07:10.920,0:07:12.860
kliknąć ten link.
0:07:12.860,0:07:16.900
Teraz wysłałem sobie na taki adres administrator@netadminpro.pl
0:07:17.640,0:07:21.260
No i przyszedł do mnie ten potwierdzający e-mail.
0:07:21.260,0:07:24.115
Mam tutaj kod, który potrzebuję skopiować.
0:07:24.120,0:07:25.860
Wejść na stronę
0:07:28.220,0:07:33.160
i wkleić ten właśnie kod, który w e-mailu otrzymałem.
0:07:35.620,0:07:38.615
Dostałem potwierdzenie, że ten certyfikat
0:07:38.615,0:07:41.925
został wystawiony. Teraz mogę wrócić
0:07:42.060,0:07:47.300
do strony, gdzie ten certyfikat będzie do pobrania.
0:07:47.580,0:07:50.380
Czyli jak widzicie mam teraz tutaj 2 certyfikaty.
0:07:50.380,0:07:53.140
Wcześniej wygenerowałem sobie  via netadminpro pl,
0:07:53.585,0:07:56.635
teraz wygenerowałem sobie vpnc netadminpro pl
0:07:56.635,0:07:59.965
i żeby ten certyfikat pobrać wystarczy kliknąć
0:07:59.965,0:08:00.965
ściągnij.
0:08:05.695,0:08:08.605
Czyli w tym katalogu po odpakowaniu
0:08:08.605,0:08:11.360
widać 2 pliki.
0:08:11.360,0:08:14.600
3 pliki byłyby w momencie, kiedy generujemy
0:08:14.600,0:08:17.960
CSR-a po stronie tego systemu
0:08:18.100,0:08:20.580
certyfikacji, pokażę za chwilę taki przypadek.
0:08:20.585,0:08:23.855
Ponieważ w tym przypadku mamy jedynie
0:08:23.860,0:08:27.260
certyfikat a klucz prywatny jest z CSR-em
0:08:27.260,0:08:29.855
razem na urządzeniu końcowym,
0:08:29.855,0:08:32.905
no to mamy 2 pliki. Pierwszy z nich to jest plik dotyczący
0:08:32.905,0:08:36.440
certyfikatów systemu autoryzacji.
0:08:36.440,0:08:38.975
A drugi plik to jest certyfikat już
0:08:38.975,0:08:41.995
na dane, które zgłosiliśmy w CSR-ze.
0:08:42.920,0:08:45.500
Dobrze, to wróćmy teraz jeszcze
0:08:45.500,0:08:48.480
i zrobię kolejny certyfikat.
0:08:48.480,0:08:49.760
Tym razem CSR
0:08:49.895,0:08:53.055
będzie wygenerowany tu po stronie
0:08:53.055,0:08:56.475
tego systemu certyfikacji.
0:09:02.760,0:09:06.720
Czyli teraz zrobię dla domeny vpnc2 netadminpro pl.
0:09:07.860,0:09:09.600
90 dni.
0:09:10.020,0:09:12.060
Teraz autogenerate CSR,
0:09:12.060,0:09:16.100
czyli teraz chcemy CSR-a po stronie ZeroSSL.
0:09:18.335,0:09:19.885
I kolejny krok.
0:09:34.085,0:09:37.315
Ponownie wybieram adres e-mail tylko z listy,
0:09:37.315,0:09:40.315
nie mogę tu sam podać, czyli to jest taki krok,
0:09:40.320,0:09:44.400
w którym ta domena , ten urząd certyfikacji weryfikuje, że
0:09:44.680,0:09:47.080
domena netadminpro.pl należy do mnie.
0:09:51.435,0:09:54.205
I ponownie w tym przykładzie tak samo
0:09:54.205,0:09:57.860
jak w poprzednim kopiuję ten klucz weryfikacyjny
0:09:57.860,0:10:00.125
i przechodzę na stronę,
0:10:00.125,0:10:02.455
w której mogę ten klucz wkleić.
0:10:09.540,0:10:15.060
No i mam tutaj już mój drugi certyfikat vpnc2 netadminpro pl.
0:10:15.360,0:10:19.020
Tym razem CSR był generowany po stronie
0:10:19.035,0:10:22.035
systemu certyfikacji, więc jeżeli ściągnę te
0:10:22.355,0:10:25.545
certyfikaty, tutaj będzie również klucz prywatny
0:10:25.545,0:10:27.225
w zestawie tych plików.
0:10:40.545,0:10:44.035
I widzimy, że dla drugiego przypadku mam prywatny klucz
0:10:44.035,0:10:47.335
dołączony w tym katalogu certyfikatu.
0:10:48.120,0:10:51.460
No dobrze, mamy już w takim razie wygenerowane 2 certyfikaty.
0:10:51.460,0:10:54.385
Jak je można dodać na urządzenie,
0:10:54.385,0:10:57.245
w tym moim przypadku kontroler Aruby.
0:10:57.365,0:10:59.225
Przechodzimy do kontrolera
0:11:01.435,0:11:04.045
i importujemy certyfikat.
0:11:05.200,0:11:07.640
Wskazujemy, w którym miejscu
0:11:07.640,0:11:09.900
on się znajduje u nas na dysku.
0:11:37.755,0:11:41.085
Klikamy, że to jest typ certyfikatu – serwer.
0:11:45.435,0:11:46.645
I importujemy.
0:11:49.560,0:11:51.680
Widać, że nam się pojawił tutaj
0:11:51.680,0:11:53.800
ten zaimportowany certyfikat.
0:11:54.805,0:11:57.815
Inny jest trochę scenariusz w przypadku, kiedy mamy
0:11:57.820,0:12:02.060
certyfikat pobrany z CSR-em z urzędu certyfikacji.
0:12:02.340,0:12:06.620
W przypadku tego urządzenia, jeżeli spróbujemy zrobić dokładnie to samo,
0:12:29.280,0:12:34.000
Czyli…jeszcze tu wybiorę publiczny serwer cert.
0:12:34.000,0:12:35.875
Czyli jeżeli zrobimy
0:12:35.880,0:12:38.040
w tym przypadku dokładnie to samo, co
0:12:38.040,0:12:40.160
przy poprzednim certyfikacie
0:12:40.160,0:12:42.800
no to niestety to urządzenie nam odrzuci
0:12:43.020,0:12:45.540
możliwość zaimportowania tego certyfikatu,
0:12:45.540,0:12:48.140
dlatego że w tym przypadku formatu pem,
0:12:48.505,0:12:51.645
to jest tekstowy format certyfikatu, tu nie ma
0:12:51.645,0:12:53.880
klucza prywatnego.
0:12:53.880,0:12:56.900
W związku z tym nie może to urządzenie użyć
0:12:56.900,0:12:58.980
tego certyfikatu jako swojego,
0:12:58.980,0:13:01.180
chyba że dodamy ten klucz prywatny,
0:13:01.180,0:13:03.180
Więc jeżeli teraz dam submit,
0:13:03.500,0:13:06.520
to zobacz, że to żądanie zostanie
0:13:07.400,0:13:12.200
odrzucone, ponieważ nie ma CSR-a w urządzeniu,
0:13:12.200,0:13:14.920
który jest powiązany z tym publicznym
0:13:14.920,0:13:17.560
kluczem certyfikatu, który importuję.
0:13:17.560,0:13:19.940
Co w takiej sytuacji można zrobić.
0:13:19.940,0:13:21.800
Wystarczy, że zmienimy
0:13:21.800,0:13:24.960
format tego certyfikatu na binarny
0:13:25.055,0:13:27.885
i będziemy mogli dołączyć
0:13:27.885,0:13:30.925
klucz prywatny do naszego zestawu
0:13:30.925,0:13:32.520
certyfikat plus klucz.
0:13:32.520,0:13:33.880
Jak to zrobić.
0:13:33.880,0:13:36.215
Żeby to wykonać trzeba użyć
0:13:36.220,0:13:38.580
paczki open SSL
0:13:38.580,0:13:40.760
i teraz właśnie wykonam taką operację.
0:13:41.280,0:13:44.740
W przypadku urządzenia Aruby
0:13:44.740,0:13:47.280
jest możliwość zaimportowania
0:13:47.280,0:13:51.100
w takim formacie pkcs 12,
0:13:51.300,0:13:52.835
czyli plik binarny, który
0:13:52.835,0:13:55.935
zawiera jednocześnie klucz prywatny i zawiera również
0:13:55.940,0:13:58.220
certyfikat, wystawiony przez urząd.
0:13:58.220,0:14:01.080
Co więcej, możemy do tego pliku, jeżeli chcemy
0:14:01.100,0:14:04.055
dołączyć dodatkowo inne certyfikaty.
0:14:04.055,0:14:07.145
Ja w tym przypadku dołączę również certyfikaty
0:14:07.145,0:14:10.720
urzędów, które są związane z wystawieniem tego certyfikatu.
0:14:10.720,0:14:13.220
Tutaj mam już gotowy
0:14:13.220,0:14:15.845
przygotowany zestaw komend.
0:14:15.845,0:14:17.765
Czyli w ten sposób wygląda,
0:14:18.255,0:14:19.835
może powiększę to,
0:14:20.780,0:14:24.100
o w ten sposób wygląda polecenie, jeżeli chodzi
0:14:24.100,0:14:27.160
o open SSL-a, generowania tego
0:14:27.160,0:14:30.200
formatu pkcs 12
0:14:30.415,0:14:33.575
i tutaj wchodzę teraz do mojej konsoli i wydaję to polecenie.
0:14:34.280,0:14:37.140
Dobrze, teraz wydaję to polecenie,
0:14:37.140,0:14:40.300
poprzednie miało błąd literowy w nazwie certyfikatu.
0:14:40.300,0:14:43.720
Teraz jeżeli wydam polecenie open ssl,
0:14:43.720,0:14:46.060
z tymi parametrami przedstawionymi,
0:14:46.060,0:14:47.720
poprosi mnie o
0:14:48.080,0:14:52.560
hasło, które mogę ustawić dla zabezpieczenia tego klucza prywatnego.
0:14:59.060,0:15:01.720
Hasło ustawione, plik wyeksportowany,
0:15:01.720,0:15:04.200
czyli mam teraz dodatkowy plik w tym katalogu,
0:15:04.200,0:15:08.700
który zawiera format binarny certyfikatu plus klucz prywatny
0:15:08.700,0:15:10.100
zabezpieczony hasłem.
0:15:10.520,0:15:13.320
Więc jeżeli zobaczycie sobie
0:15:13.320,0:15:15.400
nazwę, to mam tutaj
0:15:15.400,0:15:18.240
rozszerzenie  certificate kropka pfx.
0:15:18.240,0:15:21.960
I to jest właśnie certyfikat w formacie pkcs 12.
0:15:21.960,0:15:24.600
Teraz mogę wrócić do urządzenia.
0:15:25.755,0:15:28.475
I przypominam, że importuję teraz
0:15:28.600,0:15:32.040
certyfikat, który został wystawiony w urzędzie
0:15:32.040,0:15:35.160
bez CSR-a, generowanego z urządzenia.
0:15:35.160,0:15:37.260
Czyli całość procesu generowania
0:15:37.260,0:15:40.740
wniosku, generowania klucza prywatnego
0:15:40.740,0:15:42.600
i otrzymania certyfikatu,
0:15:42.600,0:15:45.380
całość tego procesu realizowałem po stronie
0:15:45.465,0:15:48.235
urzędu certyfikacji, w związku z tym
0:15:48.240,0:15:50.020
teraz mam trochę więcej
0:15:50.080,0:15:52.380
kroków do wykonania po stronie urządzenia.
0:15:52.380,0:15:55.300
Żeby zaimportować taki format,
0:15:55.300,0:15:57.600
to wpisuję nazwę certyfikatu
0:16:03.340,0:16:06.620
wybieram, tym razem wybieram ten certyfikat
0:16:07.285,0:16:09.045
w formie pfx.
0:16:11.445,0:16:12.585
Hasło.
0:16:20.075,0:16:23.195
Wybieram, że to jest certyfikat
0:16:23.285,0:16:24.785
typu serwer
0:16:25.355,0:16:28.315
i pkcs 12.
0:16:28.315,0:16:29.815
Czyli format binarny.
0:16:30.465,0:16:33.655
I teraz klikam submit i importuję ten certyfikat.
0:16:37.865,0:16:40.845
I widzimy, że mam teraz oba
0:16:40.845,0:16:43.655
nowe certyfikaty zaimportowane do tego serwera.
0:16:44.225,0:16:47.285
Nie mam tu oczywiście limitu, mogę tych certyfikatów,
0:16:47.285,0:16:50.185
które sobie załaduję do urządzenia
0:16:50.185,0:16:53.860
dodać wiele. To, który certyfikat będę używał
0:16:53.900,0:16:56.560
na przykład w dostępie administracyjnym  czy do
0:16:56.660,0:16:58.375
captive portalu dla gościa,
0:16:58.380,0:17:01.000
to dopiero wybieram w kolejnym kroku.
0:17:01.000,0:17:04.700
Tutaj mogę pokazać Tobie jak będzie wyglądał
0:17:04.740,0:17:09.900
przykład ustawienia takiego profilu dostępu administracyjnego.
0:17:12.120,0:17:15.100
W tym poziomie serwer certificate mam default,
0:17:15.100,0:17:17.700
domyślnie to jest fabryczny certyfikat.
0:17:17.700,0:17:22.720
Ale ponieważ dodałem te 2 certyfikaty w dwóch różnych krokach,
0:17:22.860,0:17:25.960
które mogę użyć, to mogę z listy je teraz wybrać.
0:17:26.140,0:17:29.140
Czyli jeżeli wybiorę certyfikat
0:17:29.140,0:17:32.160
z listy i dam submit,
0:17:32.160,0:17:36.100
od tego momentu jak urządzenie zastosuje sobie to ustawienie,
0:17:36.100,0:17:39.400
będę mógł używać  czy będę widział w przeglądarce
0:17:39.400,0:17:41.935
ten certyfikat wygenerowany właśnie
0:17:41.940,0:17:44.640
z tego urzędu, którego użyłem.
0:17:44.640,0:17:47.700
Podsumowując jeżeli chodzi o certyfikaty,
0:17:47.735,0:17:50.635
to, to co najczęściej jest stosowane
0:17:50.635,0:17:53.565
to wystawianie certyfikatu zaufanego
0:17:53.565,0:17:56.780
z urzędu publicznego dla zastosowań
0:17:56.780,0:17:59.345
dotyczących urządzeń zewnętrznych, czyli typowo
0:17:59.345,0:18:02.055
gościnnych urządzeń, nieznanych nam urządzeń,
0:18:02.060,0:18:04.480
niezarządzanych urządzeń przez nas.
0:18:04.480,0:18:08.800
Takie przypadki obsługujemy certyfikatem, który kupujemy
0:18:08.800,0:18:11.860
najczęściej z zewnątrz, czyli instalujemy
0:18:11.860,0:18:15.660
właśnie w taki sposób, jaki tutaj dzisiaj pokazałem.
0:18:15.660,0:18:17.045
Dla przypadków
0:18:17.045,0:18:20.560
innych, na przykład certyfikaty w dostępnie 802.1x
0:18:20.560,0:18:23.500
czy też certyfikaty wykorzystywane
0:18:23.500,0:18:25.620
w dostępie do sieci Wi-Fi
0:18:25.620,0:18:28.680
Tutaj możemy używać publicznych, ale mało jest
0:18:29.105,0:18:32.080
przypadków, gdzie widzę to faktycznie w praktyce stosowane,
0:18:32.080,0:18:34.560
ponieważ każdy taki certyfikat kosztuje.
0:18:34.560,0:18:38.280
W związku z tym, do takich przypadków używa się bardziej
0:18:38.600,0:18:43.200
schematu, że mamy nasz system wewnętrzny certyfikacji.
0:18:43.640,0:18:47.820
i ponieważ dodajemy te certyfikaty do  zastosowań, które
0:18:47.820,0:18:49.975
po pierwsze nie zawsze wymagają
0:18:49.975,0:18:53.115
całego łańcucha potwierdzeń urzędów,
0:18:53.115,0:18:55.245
to jest jeden element, a drugi jest taki, że
0:18:55.245,0:18:58.780
zarządzamy tymi urządzeniami najczęściej na przykład laptopami w domenie,
0:18:58.780,0:19:01.425
więc możemy wysłać certfikaty,
0:19:01.425,0:19:04.395
które są generowane z naszego wewnętrznego urzędu
0:19:04.395,0:19:07.355
do tych urządzeń, podłączając je do profilu
0:19:07.360,0:19:10.980
bezprzewodowego czy 802.1x  w dostępie przewodowym,
0:19:10.980,0:19:14.540
Więc te dwa przypadki użycia stosujemy.
0:19:14.540,0:19:19.360
Jeżeli tego typu scenariusz masz do zrealizowania
0:19:19.560,0:19:22.300
to właśnie tak można to zrobić.
0:19:22.525,0:19:25.535
Jeżeli masz jakieś inne pytania to pisz śmiało w komentarzu.
0:19:25.540,0:19:27.580
Na dzisiaj to tyle.
0:19:27.580,0:19:29.500
Do usłyszenia w kolejnym odcinku.

%MCEPASTEBIN%