Производственный инженер службы поддержки иногда подразумевает, что существует разделение проблем. С инженером можно консультироваться для эскалаций, но администраторский коллектив на самом деле выполняет любые изменения. Инженер службы поддержки может быть экспертом в предметной области в один или несколько областей. Администраторский коллектив может поддерживать большое разнообразие систем и have.more, чем один инженер для эскалации, в зависимости от продукта. Например, Вы можете иметь администратора Windows Server, но разделить инженеров для Exchange, SQL и IIS.
Инженер может рекомендовать действия, но у администратора должно быть окончательное решение, потому что они выполняют изменение и ответственны за результат.
Вам, вероятно, следует немного почитать о том, как обычно развертывается PKI для некоторой предыстории.
Связанный документ проходит через создание вашего собственного корневого центра сертификации (CA). Как только вы это сделаете, вы будете использовать этот ЦС для подписания и регистрации сертификатов для отдельных устройств (или для подписания сертификата для промежуточного ЦС - возможно, за пределами ваших потребностей).
Вы не хотите распространения корней CA. Обычно вы создаете один корень и используете его для подписи сертификатов для устройств.
Общий рабочий процесс после развертывания корневого центра сертификации:
В этом документе, который вы связали, описывается Создание запроса на подпись сертификата , но на самом деле он не описывает, что это процесс, который вы обычно выполняете из устройство / хост, запрашивающий сертификат.
Вы можете создавать пары открытого / закрытого ключей и CSR на устройстве / хосте, но, возможно, наиболее безопасный способ сделать это - на самом устройстве / хосте, поскольку закрытый ключ никогда не покидает устройство.
Из OpenSSL клиент, например, вот как я бы подготовил запрос на подпись сертификата (CSR) для 4096-битного ключа RSA:
openssl req -out Signing_Request.csr -new -newkey rsa: 4096 -nodes -keyout private.key
На веб-сервере IIS я бы использовал встроенный графический интерфейс «Мастер» для подготовки нового CSR. Другое программное обеспечение будет иметь другие методы подготовки CSR.
Как только у меня будет CSR, я отправлю его в CA и, как описано в документе, на который вы ссылаетесь в разделе Подписание сертификата , Я бы попросил ЦС подписать запрос и установить полученный сертификат на запрашивающее устройство / хост.
В качестве дополнения: вы обычно распространяете свой сертификат ЦС по всему предприятию, чтобы клиенты могли проверять подписи, которые ставит ваш ЦС. сертификаты и для предотвращения предупреждений о сертификатах, исходящих от ненадежного центра сертификации.
keyНа веб-сервере IIS я бы использовал встроенный графический интерфейс «Мастер» для подготовки нового CSR. Другое программное обеспечение будет иметь другие методы подготовки CSR.
Как только у меня будет CSR, я отправлю его в CA и, как описано в документе, на который вы ссылаетесь в разделе Подписание сертификата , Я бы попросил ЦС подписать запрос и установить полученный сертификат на запрашивающее устройство / хост.
В качестве дополнения: вы обычно распространяете свой сертификат ЦС по всему предприятию, чтобы клиенты могли проверять подписи, которые ставит ваш ЦС. сертификаты и для предотвращения предупреждений о сертификатах, исходящих от ненадежного центра сертификации.
keyНа веб-сервере IIS я бы использовал встроенный графический интерфейс «Мастер» для подготовки нового CSR. Другое программное обеспечение будет иметь другие методы подготовки CSR.
Как только у меня будет CSR, я отправлю его в CA и, как описано в документе, на который вы ссылаетесь в разделе Подписание сертификата , Я бы попросил ЦС подписать запрос и установить полученный сертификат на запрашивающее устройство / хост.
В качестве дополнения: вы обычно распространяете свой сертификат ЦС по всему предприятию, чтобы клиенты могли проверять подписи, которые ставит ваш ЦС. сертификаты и для предотвращения предупреждений о сертификатах, исходящих от ненадежного центра сертификации.