Archive

Archive for October, 2007

Vi skulle ha ringt dig redan från början

October 29th, 2007 Comments off

Så reagerade kunden när jag var färdig med min insats hos de idag!

Det hela började förra veckan då en av mina kunder ringer och frågar varför det går så segt med att köra smart card logon i en Windows XP SP2. Jag har ju gjort detta på annat håll och där var det blixt snabbt, det måste vara något med vår PKI, sa kunden.

Jag hälpte en anna kund för inte så länge sedan att utvärdera olika smartkorttillsammans med ett antal olika CSP:er och smartkortläsare, resultatet blev ganska talande när .net korten var de absolut snabbaste och detta var oavsett vilket läsare man använt, skillnade var upp till ca 50 sec i värsta fall. I procent mätt så pendlade skillnaden mellan 30% och x100% snabbare hantering om kortet som satt i var .net.

Innan du skaffar smartkort för test kolla om du inte kan klara dig med .net korten, de är båda enklare och snabbare att ha i ett Windows baserat system!

/Hasain

Categories: CSP, kortläsare, PKI, Smart Card Tags:

oo-boon-too sev-uhn dot-ten och dot-net too

October 21st, 2007 Comments off

Jag skriver detta efter att ha gått igenom alla mina appar som jag hade på min maskin innan uppgraderingen och kan konstatera att det fortfarande funkar bra 🙂

Jag vet att många tycker att man ska passa på att installera om när en ny version kommer och jag tror jag behöver göra det snart men just nu får det gå med en uppgradering till 7.10 när jag är i mitten av en leverans period och alla mina saker måste funkgera smärtfritt efter helgen.

Har dessutom gjort livet surt för en del hackers som har hållit på o terroriserat en nära vän som bedriver ett forum där åsikterna inte stämmer överens med de hos hackergruppen i frågan, det är kul att ge tillbaka utan att bryta mot några lagar och se hur frustrerade de har blivit.

Jag har fått ett par .net 2+ smartkort med dena nya minidrivern och ska försöka testa dessa under tiden som kommer, det som är mest spännande med de är P11 gränssnittet som borde innebära att korten är mer kompatibla med Uni-kryss. Återkommer med mer information när jag hunnit testa lite.

 

/Hasain 

Categories: 7.10, Hackers, PKI, Smart Card, Ubuntu, Uppgrade Tags:

Utfärda certifikat med anpassat subject och alternative subject name

October 16th, 2007 Comments off

När man installerar en SBS server så får man med ett self-signed certifikat med flera CN i subject-fältet, detta är ganska praktiskt om man har en server som man vill nå med https och olika namn utan den berömda certifikat varningen.

Om du själv vill skapa ett sådant certifikat med hjälp av din Windows 2003 baserade CA så kan du göra det genom att följa denna instruktion:

  1. Tala om för CA tjänsten att det är OK att ändra Subject och Alternative Subject Name i ett cert request genom att köra följande kommandon på din CA server:
    1. certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
    2. certutil.exe -setreg ca\CRLFlags +CRLF_ALLOW_REQUEST_ATTRIBUTE_SUBJECT
  2. Starta om Certsvc tjänsten så att inställningarna tas i bruk
  3. Skapa ett certifikat begärna (cert request), eller använd exempelvis den som kommer från IIS:ens certifikat guide
    • Om du vill skapa en egen request  baserad på en bef. mall så kan du använda följande steg
      1. Spara ner filen req.txt (kolla attachements) till din lokala disk
      2. ändra i den så CertificateTemplate pekar på den mall du vill utgå ifrån
      3. kör:  certreq.exe -new req.txt cert-req.txt
  4. kör följande kommando för att ändra subject-fältet så att den innehåller flera CN=
    • certreq.exe -attrib "CN:localhost\nCN:www.test.com" -submit cert-req.txt new.cer
  5. Installera certifikatet och koppla den till det nyckelpar som skapats genom att köra: certreq.exe -accept new.cer
  6. Kör certmgr.msc och titta under private så hittar du det nya certifikatet och kan exportera den tillsammans med nycklarna

/Hasain

Categories: certifikat, giltighetstid ValidityPeriod, mallar, PKI, PKI v1 templates, Security Tags:

Utöka giltighetstiden på en V1 mall i Windows 2003

October 16th, 2007 Comments off

En av föredelarna med att köra sin CA på en Windows Server 2003 Ent. Edition är att kunna utfärda certifikat med anpassade inställningar genom att kunna utnyttja v2 certifikat mallar. De flesta som jag har varit i kontakt med vill ha v2 mallar för att utöka giltighetstiden på ett certifikat.

Om man nu inte har en Windows server 2003 Ent. Edition men vill gärna få exempelvis ett smart card logon certifikat att gälla i tre eller fyra år så kan man pröva följande:

  1. Använd certtmpl.msc för att skapa en kopia av någon av mallarna som finns i lista, ta exempelvis user mallen och skapa en kopia av den
  2. Justera tiden till önskad inställning, exempelvis 3 år
  3. Använd adsiedit.msc för att plocka fram den nya mallen som finns under Configuration/Services/Public Key Services/Certificate Templates
  4. Leta nu efter pKIExpirationPeriod bland attributen för mallen
  5. kopiera nu värdet av detta attribut, bör linka detta: 00 00 E5 1C BA 84 FB FF
  6. Plocka fram den v1 mall som du vill utöka tiden på
  7. Leta nu efter pKIExpirationPeriod bland attributen för mallen
  8. Editera den och klistra in värden som du kopierade från förra mallen
  9. Nu har du en v1 mall som gäller i 3 år 🙂

Din CA kommer inte att tycka att detta är något fel, mallen är ju en v1 mall med lite längre giltighetstid men glöm nu inte att se till att din CA kan utfärda certifikat som gäller mer än standard tiden på 2 år genom at ändra nycklarna

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
\Configuration\ CA xxx
\
ValidityPeriod

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
\Configuration\ CA xxx
\
ValidityPeriodUnits

 

Detta bör fungera utan problem i de flesta system…

/Hasain 

Categories: certifikat, giltighetstid ValidityPeriod, mallar, Security, Smart Card, templates Tags: