Несколько сертификатов SSL для единственного домена на различных серверах
Этот сценарий является тем, который я использовал на победе 2008 для сброса безопасности пользователей на каталоге, названном e:\users. Это сбрасывает владение корректному владельцу и устанавливает профиль стандартной защиты. Это использует встроенный takeown и icacls, которые идут с 2008 так никакие внешние необходимые инструменты.
Это предполагает, что имена пользователей и имена каталогов являются тем же. т.е. e:\users\j.doe принадлежит mydomain\j.doe
При передаче его параметр как j.doe, это только 'исправляет' тот каталог, таким образом, можно протестировать его на одном каталоге. Проверьте, что права доступа - то, что Вы хотите перед живым использованием. Я использовал это для исправления вещей после миграции, где я копировал файлы в сценариях.
@echo off
setlocal enabledelayedexpansion
set mydom=mydomainname
set domadmins=%mydom%\Domain Admins
set domadmin=%mydom%\administrator
for /d %%A in (e:\users\%1*) do (
echo %%~nA%%~xA %%A
echo.
echo takeown
takeown /f %%A /r /d y
echo.
echo reset security
icacls %%A\*.* /reset /t
echo.
echo reset user access
icacls %%A\*.* /grant:r "%mydom%\%%~nA%%~xA:(oi)(ci)F"
echo.
echo Add domainadmins
icacls %%A\*.* /grant:r "%domadmins%:(oi)(ci)f" /grant:r "%mydom%\%%~nA%%~xA:(oi)(ci)F" /grant:r "%domadmin%:(oi)(ci)f" /grant:r "SYSTEM:(OI)(CI)F" /t /c
rem echo.
rem echo add user full access
rem icacls %%A /grant:r "%mydom%\%%~nA%%~xA:(oi)(ci)F" /t /c
icacls %%A\*.* /inheiritance:r
echo.
echo reset user ownership
@echo on
icacls %%A\*.* /setowner %mydom%\%%~nA%%~xA /t /c
@echo off)
echo finished
Я внес некоторые незначительные изменения при регистрации, таким образом, может быть синтаксическая ошибка.
Со стандартным SSL это нормально. HA предоставляет старый сертификат, правильно подписанный, и клиенты, использующие старую запись A из DNS и подключающиеся к этому серверу, будут продолжать принимать ее. HB предоставит новый сертификат, и клиенты, получающие новую запись A, подключатся к нему и примут новый сертификат. Они могут мирно сосуществовать.
Тем не менее, есть некоторые расширения SSL, которые могут сделать это более сложным. Плагины браузера, такие как Certificate Patrol , которые кэшируют SSL-сертификаты, будут отмечать изменение, и если клиенту не повезло получить старую запись после проверки новой (возможно, пользователь переместит портативный компьютер из работать (старый DNS) в киберкафе (новый DNS), затем снова работать), плагин ворчит.
У меня есть воспоминания о другой распределенной системе, которая позволяла нескольким пользователям избегать атак сертификации MITM путем объединения множества клиентских представлений сертификата, видимого на любом данном сервере. Хотя я не могу найти ссылку на это прямо сейчас, это определенно вызовет проблемы с вашим сценарием.
Но это еще не очень распространено, так что вы, вероятно, будете в порядке.
Вполне возможно иметь два отдельных сертификата для одного и того же имени хоста одновременно. Например, когда вам нужно обновить сертификат, вы захотите получить новый сертификат до истечения срока действия старого, и вы не хотите, чтобы старый сертификат стал недействительным до того, как вы установили новый.
Именно так. то, как вы это сделаете, будет зависеть от ЦС, у которого вы купили сертификат. Я работал с Verisign; у них была возможность заказать обновленный («обновленный») сертификат в течение 90 дней после истечения срока его действия. Если ваш центр сертификации делает это, я бы посоветовал вам просто обновить свой сертификат, если вы уложитесь в отведенные сроки. Это имеет то преимущество, что старый сертификат перестанет работать по истечении срока его действия.
В противном случае, вам нужно будет заказать новый сертификат, который, скорее всего, заменит старый и, таким образом, пометит старый как недействительный (но поскольку большинство браузеров не проверяют это, он все равно будет работать для большинства пользователей). Но ваш центр сертификации должен посоветовать вам, как действовать дальше.