أكثر

يستخدم دليل ArcGIS Server لتخزين الملفات الوسيطة

يستخدم دليل ArcGIS Server لتخزين الملفات الوسيطة


لدي أداة تقوم بالأعمال التالية:

  1. يربط ويجلب البيانات من hdf باستخدام إمبالا
  2. إنشاء ملف csv وسيط.
  3. من ملف csv يقوم بإنشاء فئات ميزات مخصصة.

حاليًا عند تشغيله كأداة قائمة بذاتها ، استخدمت مسارات مطلقة في الأقراص المحلية وهي تعمل بشكل جيد. لقد استخدمت رقمًا عشوائيًا لإنشاء أدلة عمل مختلفة لتخزين البيانات.

الآن أنا بحاجة لنشر هذه الأداة كخدمة معالجة جغرافية. لذلك أحتاج إلى الوصول إلى أدلة الخادم لحفظ الملفات الوسيطة.

كما قرأت ، في كل مرة يتم فيها تشغيل أداة ، تقوم بإنشاء مجلد بمعرف فريد داخل مجلد arcgisjob. إذا فهمت بشكل صحيح ، فأنا بحاجة للوصول إلى هذا الدليل.

يرجى اقتراح كيفية استخدام المجلد.

أنا أستخدم ArcGIS 10.1 Server لنظام التشغيل Windows.


أوصي باستخدام arcpy.env.scratchFolder للتعامل مع الملفات الوسيطة. حالة تعليمات ArcGIS:

الغرض الأساسي منه هو استخدام البرامج النصية والنماذج كخدمات معالجة جغرافية ، مع التركيز الإضافي للإشارة فقط إلى مجلد معروف. عندما ينفذ ArcGIS for Server مهمة معالجة جغرافية ، يكون مجلد Scratch دائمًا متاحًا لكتابة الإخراج إليه.

يتوفر مجلد Scratch منذ ArcGIS 10.1. قبل الإصدار 10.1 ، يجب استخدام Scratch Workspace بدلاً من ذلك ، والذي له عيب عدم التمييز إذا كانت بيئة التسويد عبارة عن مجلد أو قاعدة بيانات جغرافية.


تكوين الجذور الموثوقة والشهادات غير المسموح بها

تتضمن أنظمة التشغيل Windows Server 2012 R2 و Windows Server 2012 و Windows 8.1 و Windows 8 آلية تحديث تلقائية تقوم بتنزيل قوائم الشهادات الموثوق بها (CTL) بشكل يومي. في Windows Server 2012 R2 و Windows 8.1 ، تتوفر إمكانيات إضافية للتحكم في كيفية تحديث قائمة الشهادات الموثوق بها (CTL).

تتوفر تحديثات البرامج لـ Windows Server 2012 و Windows Server 2008 R2 و Windows Server 2008 و Windows 8 و Windows 7 و Windows Vista. لتوفير التحسينات الخاصة بآلية التحديث التلقائي التي تمت مناقشتها في هذا المستند ، قم بتطبيق التحديثات التالية:


تحدث هذه المشكلة عندما لا يكون للشهادة المستوردة مفتاح خاص مقترن. إذا كان شخص ما يحاول استيراد شهادة مستوى المجال إلى IIS ، فلا يمكننا الاستيراد إذا لم يكن للشهادة مفتاح خاص مرتبط وسيؤدي ذلك إلى اختفاء الشهادة عند التحديث.

سيكون الحل هو استيراد ملف .CER إلى نظامك (من حيث يتم طلب الشهادة) مخزن الأفراد وتصديره باستخدام مفتاح خاص. ثم انسخ ملف .pfx إلى الخادم المطلوب واستورده من خيار شهادة الخادم ضمن IIS. هذا من شأنه أن يحل المشكلة.

لقد واجهت هذه المشكلة عدة مرات. في حالة استخدام NetworkSolutions SSL ، يكون الإصلاح:

  1. انتقل إلى MMC Certificate Manager.
  2. عرض الشهادات الشخصية وحذف الشهادة التي "تختفي".
  3. ثم اعرض "طلبات تسجيل الشهادة" وانقر بزر الماوس الأيمن للتصدير.
  4. حدد "نعم ، تصدير بالمفتاح الخاص.

سيسمح لك ذلك بتصدير ملف .pfx الذي يمكنك استيراده من مدير IIS 7. تذكر أن تعود إلى MMC Certificate Manager وحدد "الشهادات الشخصية" وداخل الخصائص أضف "الاسم المألوف" مرة أخرى بحيث يظهر داخل IIS Manager.

إذا لم يكن لدى الخادم مفتاح خاص مرتبط بالشهادة المستوردة ، فستختفي الشهادة عند التحديث (ولن تكون متاحة أيضًا للربط).

يمكنك التحقق في mmc - Certificates - المخزن الشخصي ، والتأكد من تثبيت الشهادة ولكن ينقصها مفتاح خاص.

إذا كان لديك PFX (مفتاح خاص) وكلمة مرور ، فيمكنك استيراده (كما ذكر الآخر) ، ولكن إذا قمت للتو بتقديم طلب شهادة ، فربما لن يكون لديك.

لنفترض أنك على الخادم الصحيح (نفس المكان الذي طلبت فيه الشهادة) ، ربما يكون المفتاح الخاص تالفًا بطريقة ما. يمكنك فتح الشهادة العامة والحصول على الرقم التسلسلي ومحاولة ذلك استعادة المفتاح الخاص من مخزن المفاتيح كما هو موضح هنا.

سيصل الكثير من الناس إلى هنا دون أن يدركوا أنهم يقومون بعملية الشهادة بشكل خاطئ لإضافة SSL إلى مواقعهم الإلكترونية العامة. سيكونون قد قاموا بتنزيل شهادة من شخص مثل Godaddy ولم يدركوا أنهم فعلوا ذلك بالترتيب الخاطئ! لن يتلقوا أي رسائل خطأ ، كل ما سيحدث هو أن الشهادة في IIS ستختفي بمجرد النقر فوق قسم آخر.

العملية الصحيحة هي كما يلي:

  1. في IIS تطلب شهادة (عدد كبير من الأشخاص مفقود في هذا الجزء)
  2. يمكنك استخدام الرمز المطلوب من IIS لطلب شهادة على الموقع العام (مثل godaddy). لا يقوم الكثير من الأشخاص بالخطوة الأولى ويستخدمون مفتاحًا تم إنشاؤه عشوائيًا
  3. قم بتنزيل الشهادات التي تم إنشاؤها باستخدام رمز الطلب الخاص بك.
  4. قمت بإضافة الشهادة المتوسطة في المرجع المصدق المحلي (استخدم MMC للوصول إلى هناك)
  5. يمكنك إضافة الشهادة الأخرى في IIS
  6. يمكنك تكوين الارتباطات

هنا الروابط. إنشاء طلب الشهادة

هل هذا في IIS 6 أو IIS 7؟ هل قمت باستيراده في وحدة تحكم MMC أو في IIS؟ حاول استيراده في وحدة تحكم MMC أولاً ، ثم تحديده في IIS. تأكد أيضًا من أن الملف الذي تستورده هو ملف .pfx يتضمن المفتاح الخاص.

واجهت هذه المشكلة أيضًا وقمت بحلها باستخدام OpenSSL لإنشاء ملف .pfx الصحيح. يمكن العثور على تعليمات لهذا هنا

كما قال سانديب ، يحذف IIS الشهادة الخاصة بك إذا لم يكن بها مفتاح خاص. يحدث هذا غالبًا إذا كنت تستخدم IIS لإنشاء طلب شهادة من CA. لا يحتوي المرجع المصدق (CA) الخاص بك على مفتاحك الخاص (أنت تمتلكه) لذلك لا يحتوي الملف على المفتاح الخاص. هي بالضبط الخطوات التي عليك القيام بها:

لقد قمت في الأصل بإنشاء طلب شهادة من IIS على الخادم الخاص بك. لقد أرسلت ملف TXT الخاص بالطلب إلى "المرجع المصدق" الخاص بك حتى يتمكنوا من إنشاء الشهادة لك.

أعاد "المرجع المصدق" الخاص بك ملف CRT. على نفس خادم Windows الذي استخدمته لإنشاء "طلب الشهادة" ، في مستكشف Windows ، انقر بزر الماوس الأيمن فوق ملف .CRT الذي أرسلته "المرجع المصدق" إليك.

حدد تثبيت الشهادة يتم تشغيل معالج استيراد الشهادة

في معالج استيراد الشهادة ، في موقع المتجر ، حدد الجهاز المحلي

بعد ذلك حدد وضع جميع الشهادات في المخزن التالي وحدد المراجع المصدقة الجذرية الموثوقة

موافق يؤدي هذا إلى قيام Windows باستيراد الشهادة إلى Windows (وليس إلى IIS). أنت الآن بحاجة إلى الحصول على ملف PFX الذي يحتوي على المفتاح الخاص:

الشهادات (كمبيوتر محلي)

من الشهادات (الكمبيوتر المحلي) - شهادة الجذر الموثوقة الموسعة

لاحظ أنه يعرض "لديك مفتاح خاص يتوافق مع هذه الشهادة."

انقر بزر الماوس الأيمن على الشهادة.

في صفحة "تصدير المفتاح الخاص" بالمعالج ، حدد "نعم ، تصدير المفتاح الخاص"

يطالبك معالج تصدير الشهادة - تصدير تنسيق الملف PKCS # 12 (.PFX)

يتطلب منك معالج تصدير الشهادات حماية الملف بكلمة مرور:

أدخل كلمة مرور لحماية الملف.

استعرض للوصول إلى موقع وقم بتوفير اسم الملف. سيكون الملف بامتداد .PFX.


تصدير واستيراد شهادات SSL بين خوادم Windows باستخدام ملف PFX

نظرة عامة: يتطلب ترحيل شهادة SSL من خادم Windows إلى خادم Windows آخر تصدير زوج مفاتيح SSL الخاص بك ثم استيراده من الخادم A إلى الخادم B باستخدام ملف النسخ الاحتياطي PFX ، المعروف أيضًا باسم ملف أرشيف PKCS # 12.

& # x000A

يرجى ملاحظة أنه لا يمكن توفير ملفات PFX بواسطة المراجع المصدقة لأن أرشيفات PFX تتطلب المفتاح الخاص المتوافق. تعرف على المزيد على: كيف يمكنني تنزيل ملف PFX؟

& # x000A

أ تصدير شهادة خادم والمفتاح الخاص للمكبر إلى ملف PFX

    & # x000A
  1. في ال يركض في مربع الحوار ، اكتب mmc ، ثم انقر فوق موافق نعم. تظهر Microsoft Management Console (MMC). & # x000A
  2. إذا لم يكن لديك مدير الشهادات مثبتًا في MMC ، ستحتاج إلى تثبيته. & # x000A
      & # x000A
  3. من القائمة ملف ، انقر فوق "نعم" إضافة / إزالة الأداة الإضافية & # x000A
  4. انقر يضيف ثم حدد الشهادات من الأدوات الإضافية المستقلة المتوفرة مربع الحوار وانقر يضيف & # x000A
  5. يختار حساب الكمبيوتر وثم كمبيوتر محلي & # x000A
  6. ال مدير الشهادات تم تثبيت MMC & # x000A
  7. لا تحديد حذف المفتاح الخاص إذا كان التصدير ناجحًا ، لأن هذا سيؤدي إلى تعطيل موقع SSL الذي يتوافق مع هذا المفتاح الخاص.

    حدد مربع الاختيار "تضمين جميع الشهادات في مسار الشهادة إن أمكن".

    ب. استيراد شهادة خادم من ملف PFX

      & # x000A
    1. في ال يركض في مربع الحوار ، اكتب mmc ، ثم انقر فوق موافق نعم. تظهر Microsoft Management Console (MMC). & # x000A
    2. إذا لم يكن لديك مدير الشهادات المثبتة في MMC ، انظر الخطوة 2 أعلاه. & # x000A
    3. في شجرة وحدة التحكم في الجزء الأيمن ، قم بتوسيع الشهادات (الكمبيوتر المحلي) ، ثم ملف شخصي العقدة.

    كيفية تعيين شهادة SSL مستوردة لموقع ويب في IIS

      & # x000A
    1. الآن مفاتيح SSL موجودة على الخادم الهدف. بعد ذلك نقوم بتعيين الشهادة إلى الموقع في IIS. & # x000A
    2. افتح ال مدير خدمات معلومات الإنترنت (IIS). من بداية حدد الزر البرامج & GT إداريأدوات & GT مدير خدمات معلومات الإنترنت. & # x000A
    3. في مدير IIS، وانقر نقرًا مزدوجًا فوق الكمبيوتر المحلي ، ثم انقر نقرًا مزدوجًا فوق ملف مواقع الويب مجلد. & # x000A
    4. انقر على اليمين موقع الويب الذي تريد تعيين الشهادة المستوردة له ، ثم انقر فوق "نعم" الخصائص. بشكل افتراضي ، سيكون موقع الويب الافتراضي ، وقد يكون موقعك مختلفًا.
      & # x000A
    5. حدد ملف أمان الدليل علامة التبويب وانقر فوق شهادة الخادم في ال اتصالات آمنة القطاع الثامن. & # x000A
    6. انقر التالي في ال مرحباً بك في Web Server Certificate Wizard نافذة او شباك. & # x000A
    7. يختار تعيين شهادة موجودة، انقر التالي. & # x000A
    8. حدد الشهادة من القائمة وقم بإنهاء المعالج. & # x000A
    9. قف، ومن بعد بداية خادم الويب لذلك الموقع. & # x000A

    يرجى الاتصال بفريق الدعم الخاص بنا إذا كان لديك أي مشاكل أو أسئلة إضافية.


    مهم يحتوي هذا القسم أو الطريقة أو المهمة على خطوات توضح كيفية تعديل السجل. ومع ذلك ، قد تحدث مشكلات خطيرة إذا قمت بتعديل السجل بطريقة غير صحيحة. لذلك ، تأكد من اتباع هذه الخطوات بعناية. لمزيد من الحماية ، قم بعمل نسخة احتياطية من السجل قبل تعديله. بعد ذلك ، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته ، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

    322756 كيفية عمل نسخة احتياطية من السجل واستعادته في Windows

    للمساعدة في جعل مصادقة LDAP عبر SSL / TLS أكثر أمانًا ، يمكن للمسؤولين تكوين إعدادات التسجيل التالية:

    مسار وحدات تحكم مجال خدمات مجال Active Directory (AD DS): HKEY_LOCAL_MACHINE System CurrentControlSet Services NTDS معلمات

    مسار خوادم Active Directory Lightweight Directory Services (AD LDS): HKEY_LOCAL_MACHINE SYSTEM نقرا خدمات & اسم مثيل ltLDS & GTالمعلمات

    DWORD: LdapEnforceChannelBinding

    قيمة الكلمة المزدوجة: 0 يشير معاق. لم يتم إجراء التحقق من صحة ربط القناة. هذا هو سلوك كافة الخوادم التي لم يتم تحديثها.

    قيمة الكلمة المزدوجة: 1 يشير ممكن، عند الدعم. يجب على كافة العملاء الذين يعملون على إصدار من Windows تم تحديثه لدعم الرموز المميزة لربط القناة (CBT) توفير معلومات ربط القناة بالخادم. لا يتعين على العملاء الذين يقومون بتشغيل إصدار من Windows لم يتم تحديثه لدعم CBT القيام بذلك. هذا خيار وسيط يسمح بتوافق التطبيق.

    قيمة الكلمة المزدوجة: 2 يشير ممكّن دائمًا. يجب على جميع العملاء تقديم معلومات ربط القناة. يرفض الخادم طلبات المصادقة من العملاء الذين لا يفعلون ذلك.

    قبل تمكين هذا الإعداد على وحدة تحكم المجال ، يجب على العملاء تثبيت التحديث الأمني ​​الموضح في CVE-2017-8563. بخلاف ذلك ، قد تظهر مشكلات التوافق ، وقد لا تعمل طلبات مصادقة LDAP عبر SSL / TLS التي كانت تعمل سابقًا. افتراضيًا ، يتم تعطيل هذا الإعداد.

    يجب إنشاء إدخال التسجيل LdapEnforceChannelBindings بشكل صريح.

    يستجيب خادم LDAP ديناميكيًا للتغييرات التي يتم إجراؤها على إدخال التسجيل هذا. لذلك ، ليس لديك لإعادة تشغيل الكمبيوتر بعد تطبيق تغيير التسجيل.


    لزيادة التوافق مع إصدارات أنظمة التشغيل الأقدم (Windows Server 2008 والإصدارات السابقة) ، نوصي بتمكين هذا الإعداد بقيمة 1.

    لتعطيل الإعداد بشكل صريح ، قم بتعيين إدخال LdapEnforceChannelBinding إلى 0 (صفر).

    يتطلب Windows Server 2008 والأنظمة الأقدم أن يتم تثبيت Microsoft Security Advisory 973811 ، المتوفر في "KB 968389 Extended Protection for Authentication" ، قبل تثبيت CVE-2017-8563. إذا قمت بتثبيت CVE-2017-8563 بدون KB 968389 على وحدة تحكم المجال أو مثيل AD LDS ، فستفشل جميع اتصالات LDAPS مع ظهور خطأ LDAP 81 - LDAP_SERVER_DOWN. بالإضافة إلى ذلك ، نوصي بشدة بمراجعة وتثبيت الإصلاحات الموثقة في قسم المشكلات المعروفة في KB 968389.


    4 إجابات 4

    ملاحظة: هذه خلاصة وافية (طويلة جدًا) من التوصيات والإجراءات المختلفة التي قالها خبراء Microsoft و NIST وغيرهم من خبراء PKI والتشفير الذين يحظون باحترام كبير. إذا رأيت شيئًا يتطلب حتى أدنى مراجعة ، فأخبرني بذلك.

    قبل الدخول في تكوين المرجع المصدق والغواصات ، من الجيد معرفة أنه على الرغم من أن CryptoAPI الخاص بـ MSFT يتطلب جذرًا موقّعًا ذاتيًا ، إلا أن بعض البرامج غير التابعة لـ MSFT قد تتبع RFC 3280 وتسمح لأي CA بأن يكون الجذر الموثوق به لأغراض التحقق من الصحة. قد يكون أحد الأسباب هو أن البرامج التي لا تعتمد على MSFT تفضل طول مفتاح أقل.

    فيما يلي بعض ملاحظات التكوين وإرشادات أمبير حول إعداد CA ROOT والغواصات:

    تخزين المفتاح الخاص لـ CA

    الأفضل: قم بتخزين المفتاح على جهاز HSM يدعم عد المفاتيح. في كل مرة يتم فيها استخدام المفتاح الخاص لـ CA ، سيتم زيادة العداد. هذا يحسن ملف تعريف التدقيق الخاص بك. ابحث عن FIPS140 المستوى 3 أو 4

    جيد: قم بتخزين المفتاح الخاص على بطاقة ذكية. على الرغم من عدم علمي بأي بطاقة ذكية توفر حسابًا رئيسيًا ، فإن تمكين عد المفاتيح قد يمنحك نتائج غير متوقعة في سجل الأحداث

    مقبول: قم بتخزين المفتاح الخاص في Windows DPAPI. تأكد من أن هذه المفاتيح ووكيل Key Enrollment لا ينتهي بهما المطاف في بيانات اعتماد التجوال. راجع أيضًا: كيفية تعداد DPAPI وبيانات اعتماد التجوال

    لا تستخدم 1024 بطول مفتاح. قام NIST بالتخلص التدريجي منه في عام 2011 ، ولن يقوم MSFT بإضافته إلى متجر Trusted Root CA لأنه لن يفي بالحد الأدنى من المعايير الفنية المقبولة.

    المراجع المصدقة الجذر يدعم التطبيقات القديمة يجب ألا يزيد حجمها عن 2048 بت. السبب: يرى دعم MSFT العديد من الحالات التي تدعم فيها تطبيقات Java أو أجهزة الشبكة فقط أحجام مفاتيح تبلغ 2048 بايت. احفظ أطوال البت الأعلى في CAs المقيدة لغرض معين (Windows مقابل أجهزة الشبكة) وما إلى ذلك.

    توصي NIST بـ 2048 أو 3072 بت. يتم دعم ECC ، على الرغم من أنه قد يتسبب في حدوث مشكلات في إمكانية التشغيل البيني للجهاز.

    خطط لأقوى تشفير ممكن (طول المفتاح) عبر PKI ، وإلا توقع مزايا أمنية مختلطة.

    يواجه عملاء الأجهزة المحمولة مشكلات (وحدة المعالجة المركزية عالية) أو عدم التوافق مع المفاتيح الكبيرة

    يمكن أن يكون للخوارزمية وطول مفتاح أمبير تأثير على المدة التي تريد أن تكون الشهادات فيها صالحة ، لأنها تحدد بشكل فعال المدة التي قد يستغرقها اختراق المهاجم ، أي كلما كان التشفير أقوى ، كلما طالت مدة استعدادك للحصول على شهادات صالحة لمدة

    تتمثل إحدى الطرق في تحديد أطول مدة صلاحية ستحتاجها لشهادات الكيان النهائي ، ومضاعفتها لإصدار الشهادات ، ثم ضاعفها مرة أخرى لـ الجذر ca (في مستويين). باستخدام هذا الأسلوب ، ستجدد كل شهادة CA بشكل روتيني عند بلوغ نصف عمرها - وذلك لأن المرجع المصدق لا يمكنه إصدار شهادات ذات تاريخ انتهاء صلاحية بعد ذلك لشهادة كاليفورنيا نفسها.

    لا يمكن تحديد القيم المناسبة إلا من خلال سياسة أمان مؤسستك وأمبير أمبير ، ولكن عادةً ما يكون للجذر ca مدة صلاحية للشهادة تبلغ 10 أو 20 عامًا.

    إذا كنت قلقًا بشأن التوافق ، فاضبط تاريخ انتهاء الصلاحية أدناه 2038. ويرجع ذلك إلى الأنظمة التي تقوم بترميز البيانات بالثواني منذ الأول من يناير 1970 على عدد صحيح 32 بت موقع. اقرأ المزيد عن هذه المشكلة هنا.

    اختيار الهاش

    قد ترغب في تقليد هيئة إدارة البنية التحتية للمفاتيح العمومية الفيدرالية وإنشاء جذرين للمفاتيح العمومية. SHA-256 واحد حديث لجميع الأجهزة التي تدعمه ، وواحد SHA-1 قديم. ثم استخدم الشهادات المتقاطعة للتعيين بين عمليتي النشر.

    رمز المصادقة و S / MIME مع تجزئة SHA2 غير مدعومين في XP أو 2003

    & quot فيما يتعلق بدعم SHA-224 ، يوفر SHA-224 أمانًا أقل من SHA-256 ولكنه يأخذ نفس القدر من الموارد. كما لا يتم استخدام SHA-224 بشكل عام بواسطة البروتوكولات والتطبيقات. معايير NSA's Suite B لا تتضمنها أيضًا. & quot المصدر

    & quot لا تستخدم مجموعة SHA2 في أي مكان في التسلسل الهرمي للمرجع المصدق إذا كنت تخطط للحصول على XP إما أن تثق في الشهادة أو تتحقق من صحة الشهادة أو تستخدم الشهادة في التحقق من السلسلة أو تحصل على شهادة من CA. على الرغم من أن XP SP3 يسمح بالتحقق من الشهادات التي تستخدم SHA2 في التسلسل الهرمي للمرجع المصدق ، ويسمح KB 968730 بالتسجيل المحدود للشهادات التي تم توقيعها بواسطة CA باستخدام SHA2 ، فإن أي استخدام للتوقيعات المنفصلة يمنع XP تمامًا. & quot (المصدر)

    اختيار مزود التشفير

    تفعيل توليد الرقم التسلسلي العشوائي

    اعتبارًا من عام 2012 ، هذا مطلوب إذا كنت تستخدم MD5 كتجزئة. لا تزال فكرة جيدة إذا تم استخدام SHA1 أو أكبر. راجع أيضًا Windows 2008R2 & quothow to & quot لمزيد من المعلومات.

    قم بإنشاء بيان ممارسة الشهادة

    بيان ممارسة الشهادة هو بيان الممارسات التي تستخدمها تكنولوجيا المعلومات لإدارة الشهادات التي تصدرها. يصف كيف يتم تفسير سياسة الشهادة الخاصة بالمنظمة في سياق بنية نظام المنظمة وإجراءات التشغيل الخاصة بها. قسم تكنولوجيا المعلومات هو المسؤول عن إعداد وصيانة بيان ممارسة الشهادة. (مصدر)

    ملاحظة: في بعض المواقف ، مثل استخدام التوقيعات الرقمية على عقود ملزمة ، يمكن أيضًا اعتبار بيان ممارسة الشهادة بيانًا قانونيًا حول مستوى الأمان المقدم والضمانات التي يتم استخدامها لإنشاء مستوى الأمان والحفاظ عليه .

    أفضل ممارسة: على الرغم من أنه من الممكن وضع نص حر في هذا الحقل (انظر الملاحظة أدناه) ، فإن الحل المثالي هو استخدام عنوان URL. يسمح هذا بتحديث السياسة دون إعادة إصدار الشهادات ، كما يمنع الانتفاخ غير الضروري في مخزن الشهادات.

    نُهج الشهادة

    يُعرف أيضًا باسم سياسات الإصدار ، أو سياسات الضمان (في MSFT) ، هذا معرف معرف ذاتيًا يصف مقدار الثقة التي يجب على المرء وضعها في شهادتك (عالية ، متوسطة ، منخفضة ، إلخ). راجع إجابة StackExchange لمعرفة كيفية استخدام هذا الحقل بشكل صحيح.

    تأكد من تطابق سياسات التطبيق وسياسات EKU

    نُهج التطبيق هي إحدى قواعد Microsoft الاختيارية. إذا كنت تُصدر شهادات تتضمن كلاً من سياسة التطبيق وامتدادات EKU ، فتأكد من أن الملحقين يحتويان على معرفات كائن متطابقة.

    تمكين فحص CRL

    عادةً ما يتحقق المرجع المصدق لنظام التشغيل Windows Server 2003 من الإبطال في جميع الشهادات الموجودة في التسلسل الهرمي للمفاتيح العمومية (باستثناء شهادة المرجع المصدق الجذري) قبل إصدار شهادة الكيان النهائي. لتعطيل هذه الميزة ، استخدم الأمر التالي في المرجع المصدق ، ثم أعد تشغيل خدمة المرجع المصدق (CA):

    نقطة توزيع CRL

    إرشادات خاصة لـ Root CAs

    هذا اختياري في المرجع المصدق الجذر ، وإذا تم إجراؤه بشكل غير صحيح ، فقد يؤدي ذلك إلى كشف مفتاحك الخاص.

    يتم إجراء جميع منشورات CRL يدويًا من RootCA غير المتصل إلى جميع جهات CA الفرعية الأخرى. البديل هو استخدام كبل صوت لتسهيل الاتصال أحادي الاتجاه من الجذر إلى المرجع المصدق الفرعي

    من المقبول تمامًا أن يصدر المرجع المصدق الجذر مواقع CRL مختلفة لكل شهادة تم إصدارها إلى المراجع المصدقة الثانوية.

    يعد وجود قائمة إلغاء الشهادات (CRL) في الجذر من أفضل الممارسات إذا كان اثنان من PKIs يثقان ببعضهما البعض وتم تخطيط السياسة. هذا يسمح بإلغاء الشهادة.

    يعد الحصول على CRL & quotright & quot أمرًا مهمًا جدًا نظرًا لأن الأمر متروك لكل تطبيق لإجراء فحص CRL. على سبيل المثال ، يقوم تسجيل الدخول بالبطاقة الذكية على وحدات تحكم المجال دائمًا بفرض التحقق من الإبطال وسيرفض حدث تسجيل الدخول إذا تعذر إجراء تدقيق الإبطال أو فشل.

    ملاحظة إذا تعذر التحقق من صحة أي شهادة في السلسلة أو تم إبطالها ، فإن السلسلة بأكملها تأخذ حالة تلك الشهادة الواحدة.

    يجب ألا يسرد المرجع المصدق الجذر الموقّع ذاتيًا أي CDPs. لا تقوم معظم تطبيقات Windows بتمكين علامة CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT وبالتالي تجاهل CDP (هذا هو وضع التحقق الافتراضي). إذا تم تمكين العلامة ، وكان CDP فارغًا لشهادة الجذر الموقعة ذاتيًا ، فلن يتم إرجاع أي خطأ.

    لا تستخدم HTTPS و LDAPS. لم تعد عناوين URL هذه مدعومة كمراجع لنقطة التوزيع. السبب هو أن عناوين URL لـ HTTPS و LDAPS تستخدم شهادات قد يتم إبطالها أو لا. يمكن أن تؤدي عملية التحقق من الإبطال إلى حلقات إبطال عند استخدام عناوين HTTPS أو LDAPS URL. لتحديد ما إذا تم إبطال الشهادة ، يجب استرداد CRL. ومع ذلك ، لا يمكن استرداد CRL ما لم يتم تحديد حالة إبطال الشهادات المستخدمة بواسطة HTTPS أو LDAPS.

    ضع في اعتبارك استخدام HTTP بدلاً من LDAP- على الرغم من أن AD DS يتيح نشر CRLs إلى كافة وحدات التحكم بالمجال في الغابة ، قم بتطبيق HTTP بدلاً من LDAP لنشر معلومات الإبطال. يتيح HTTP فقط استخدام ETag و Cache-Control: توفر رؤوس Max-age دعمًا أفضل للخوادم الوكيلة ومعلومات إبطال في الوقت المناسب. بالإضافة إلى ذلك ، يوفر HTTP دعمًا غير متجانس أفضل حيث يتم دعم HTTP بواسطة معظم عملاء Linux و UNIX وأجهزة الشبكة.

    سبب آخر لعدم استخدام LDAP هو أن نافذة الإبطال أصغر. عند استخدام AD LDAP لنسخ معلومات CA ، لا يمكن أن تكون نافذة الإبطال أقل من الوقت لجميع المواقع في AD للحصول على تحديث CA. في كثير من الأحيان قد يستغرق هذا النسخ ما يصل إلى 8 ساعات. هذا هو 8 ساعات حتى يتم إبطال وصول مستخدم البطاقة الذكية. Todo: وقت تحديث CRL الجديد الموصى به هو:. "

    اجعل جميع عناوين URL متاحة بشكل كبير (ويعرف أيضًا باسم عدم تضمين LDAP للمضيفين الخارجيين). سيقوم Windows بإبطاء عملية التحقق من الصحة لمدة تصل إلى 20 ثانية وإعادة محاولة الاتصال الفاشل بشكل متكرر على الأقل كل 30 دقيقة. أظن أن الجلب المسبق سيؤدي إلى حدوث ذلك حتى إذا كان المستخدم لا يستخدم الموقع بشكل نشط.

    مراقبة حجم CRL الخاص بك. إذا كان كائن CRL كبيرًا جدًا بحيث يتعذر على CryptoAPI تنزيل الكائن ضمن الحد الأقصى للمهلة المخصصة ، يتم إرجاع خطأ "الإبطال دون اتصال" ويتم إنهاء تنزيل الكائن.

    ملاحظة: قد يتسبب توزيع CRL عبر HTTP مع دعم ETAG في حدوث مشكلات مع IE6 عند استخدام Windows 2003 / IIS6 ، حيث تتم إعادة تعيين اتصال TCP باستمرار.

    • (اختياري) تمكين Freshest CRL: يسرد هذا الامتداد غير الهام جهات الإصدار والمواقع التي يمكن من خلالها استرداد قوائم دلتا لإلغاء الشهادات. إذا كانت السمة "Freshest CRL" غير موجودة في CRL ولا في الشهادة ، فسيتم التعامل مع CRL الأساسية على أنها CRL عادية ، وليس كجزء من زوج CRL / delta CRL الأساسي.

    لا يضع Microsoft CA امتداد "Freshest CRL" في الشهادات الصادرة. ومع ذلك ، من الممكن إضافة امتداد "Freshest CRL" إلى الشهادة الصادرة. سيتعين عليك كتابة رمز لإضافته إلى الطلب ، أو كتابة وحدة سياسة مخصصة ، أو استخدام certutil –setextension في طلب معلق. لمزيد من المعلومات حول التسجيل المتقدم للشهادة ، راجع وثائق "التسجيل والإدارة المتقدم للشهادة" على موقع Microsoft على الويب

    تحذير إذا تم تمكين delta CRLs في CA ، فيجب فحص كل من CRL الأساسي و delta CRL لتحديد حالة إبطال الشهادة. في حالة عدم توفر أحدهما ، أو كليهما ، سيقوم محرك التسلسل بالإبلاغ عن عدم إمكانية تحديد حالة الإبطال ، وقد يرفض أحد التطبيقات الشهادة.

    تحجيم CRL والصيانة (تقسيم CRL)

    ستزيد CRL بمقدار 29 بايت لكل شهادة يتم إبطالها. وفقًا لذلك ، ستتم إزالة الشهادات الملغاة من قائمة الشهادات الباطلة (CRL) عندما تصل الشهادة إلى تاريخ انتهاء صلاحيتها الأصلي.

    نظرًا لأن تجديد شهادة CA يؤدي إلى إنشاء CRL جديد / فارغ ، فقد يفكر إصدار CA في تجديد CA بمفتاح جديد كل 100-125K شهادة للحفاظ على حجم CRL معقول. يعتمد رقم الإصدار هذا على افتراض أنه سيتم إلغاء ما يقرب من 10 بالمائة من الشهادات الصادرة قبل تاريخ انتهاء صلاحيتها الطبيعي. إذا كان معدل الإلغاء الفعلي أو المخطط له أعلى أو أقل لمؤسستك ، فاضبط استراتيجية التجديد الرئيسية وفقًا لذلك. مزيد من المعلومات

    ضع في اعتبارك أيضًا تقسيم CRL بشكل متكرر إذا كان انتهاء الصلاحية أكثر من عام أو عامين ، حيث يزداد احتمال الإلغاء.

    العيب في ذلك هو زيادة أوقات بدء التشغيل ، حيث يتم التحقق من صحة كل شهادة بواسطة الخادم.

    احتياطات أمان CRL

    إذا كنت تستخدم CRL ، فلا توقع على CRL باستخدام MD5. من الجيد أيضًا إضافة التوزيع العشوائي إلى مفتاح توقيع CRL.

    الوصول إلى معلومات السلطة

    يسمح هذا الحقل للنظام الفرعي للتحقق من صحة الشهادة بتنزيل شهادات إضافية حسب الحاجة إذا لم تكن مقيمة على الكمبيوتر المحلي.

    يجب ألا يسرد المرجع المصدق الجذري الموقّع ذاتيًا أي مواقع AIA (انظر السبب هنا)

    يُسمح بخمسة عناوين URL كحد أقصى في امتداد AIA لكل شهادة في سلسلة الشهادات. بالإضافة إلى ذلك ، يتم أيضًا دعم 10 عناوين URL كحد أقصى لسلسلة الشهادات بأكملها. تمت إضافة هذا القيد على عدد عناوين URL للتخفيف من الاستخدام المحتمل لمراجع "الوصول إلى معلومات الهيئة" في هجمات رفض الخدمة.

    لا تستخدم HTTPس و LDAPس. لم تعد عناوين URL هذه مدعومة كمراجع لنقطة التوزيع. السبب هو أن عناوين URL لـ HTTPS و LDAPS تستخدم شهادات قد يتم إبطالها أو لا. يمكن أن تؤدي عملية التحقق من الإبطال إلى حلقات إبطال عند استخدام عناوين HTTPS أو LDAPS URL. لتحديد ما إذا تم إبطال الشهادة ، يجب استرداد CRL. ومع ذلك ، لا يمكن استرداد CRL ما لم يتم تحديد حالة إبطال الشهادات المستخدمة بواسطة HTTPS أو LDAPS.

    تفعيل التحقق من صحة OCSP

    يوجد مستجيب OCSP تقليديًا في: http: // & ltfqdn من مستجيب ocsp & gt / ocsp. يحتاج عنوان url هذا إلى التمكين في AIA. راجع هذه التعليمات لنظام التشغيل Windows.

    هل تعلم أن التحقق الكامل من OCSP معطل افتراضيًا (على الرغم من أنه يجب & quoton & quot لشهادات EV وفقًا للمواصفات). بالإضافة إلى ذلك ، يؤدي تمكين فحص OCSP إلى إضافة زمن انتقال إلى الاتصال الأولي

    مدة ذاكرة التخزين المؤقت OCSP

    تحدث جميع إجراءات OCSP عبر بروتوكول HTTP وبالتالي فهي تخضع لقواعد ذاكرة التخزين المؤقت لوكيل HTTP النموذجية.

    على وجه التحديد ، يحدد رأس Max-age الحد الأقصى للوقت الذي يقوم فيه الخادم الوكيل أو العميل بتخزين استجابة CRL أو OCSP مؤقتًا قبل استخدام GET الشرطي لتحديد ما إذا كان الكائن قد تغير أم لا. استخدم هذه المعلومات لتكوين خادم الويب لتعيين الرؤوس المناسبة. ابحث في مكان آخر في هذه الصفحة عن أوامر AD-IIS الخاصة بهذا الأمر.

    تحديد سياسة في الشهادات الصادرة

    يحدد المرجع المصدق (CA) الرئيسي ما إذا كان سيتم السماح بسياسات شهادة المرجع المصدق (CA) من المراجع المصدقة الفرعية أم لا. من الممكن تحديد هذا الإعداد عندما يحتاج المُصدر أو نهج التطبيق إلى تضمينه في مرجع مصدق فرعي.

    تتضمن السياسات النموذجية EKU للبطاقات الذكية أو المصادقة أو مصادقة SSL / الخادم.

    احذر من الشهادات التي لا تحتوي على ملحق نُهج الشهادات حيث يمكن أن يؤدي ذلك إلى تعقيد شجرة السياسة. راجع RFC 5280 للحصول على مزيد من المعلومات

    اعلم أن تعيينات السياسة يمكن أن تحل محل السياسات الأخرى في المسار

    هناك سياسة خاصة تسمى أي سياسة تغير المعالجة

    هناك امتدادات تغير أي سياسة

    إذا كنت تستخدم سياسات الشهادات ، فتأكد من وضع علامة عليها باعتبارها حرجة وإلا تصبح شجرة valid_policy_tree المحسوبة فارغة ، مما يحول السياسة إلى تعليق مجيد.

    مراقبة فرض طول DN

    تنص مواصفات CCITT الأصلية للحقل OU على أنه يجب أن يقتصر على 64 حرفًا. عادة ، يفرض المرجع المصدق معايير طول الاسم x.500 على تمديد موضوع الشهادات لجميع الطلبات. من الممكن أن تتجاوز مسارات OU العميقة قيود الطول العادية.

    نقاط توزيع الشهادة المتقاطعة

    تساعد هذه الميزة في الأماكن التي تحتاج فيها البيئات إلى تثبيت اثنين من PKI ، أحدهما للأجهزة / البرامج القديمة التي لا تدعم التشفير الحديث ، والآخر PKI لأغراض أكثر حداثة.

    تقييد EKU

    على النقيض من RFC 5280 الذي ينص على أنه "بشكل عام ، [كذا] سيظهر امتداد EKU فقط في شهادات الكيان النهائي. & quot ، من الجيد وضع قيود على استخدام مفتاح CA.

    ستحتوي شهادة CA النموذجية المستقلة على أذونات لإنشاء التوقيعات الرقمية وتوقيع الشهادة وتوقيع CRL كقيم أساسية. هذا جزء من مشكلة أمان FLAME.

    • بطاقة مايكروسوفت الذكية EKU
    • تشفير المفتاح العام للمصادقة الأولية (PKINIT) العميل المصادقة EKU ، على النحو المحدد في PKINIT RFC 4556

    كما أن لديها قيودًا مثيرة للاهتمام حول التحقق من صحة EKU (الرابط tbd).

    إذا كنت مهتمًا بفرض أي قيود على EKU ، فيجب أن ترى هذه الإجابة فيما يتعلق بمعرفات الكائن وهذا بخصوص الشهادات الموانعة

    توخى الحذر مع القيود الأساسية & quotPath & quot

    التبعية المؤهلة لل CAs المتوسطة

    للحد من أنواع الشهادات التي يمكن أن تقدمها subCA ، انظر هذا الارتباط وهذا الارتباط

    إذا تم إجراء التبعية المؤهلة ، فقد يكون إبطال الجذر الموقع صعبًا نظرًا لأن الجذور لا تقوم بتحديث CRLs بشكل متكرر.

    معرف مفتاح السلطة / معرف مفتاح الموضوع

    ملاحظة إذا كان امتداد AKI للشهادة يحتوي على KeyID ، فإن CryptoAPI يتطلب أن تحتوي شهادة المُصدر على SKI مطابق. هذا يختلف عن RFC 3280 حيث تكون مطابقة SKI و AKI اختيارية. (ما يجب القيام به: لماذا يختار شخص ما تنفيذ هذا؟)

    امنح الجذر والمرجع المصدق اسمًا ذا معنى

    سيتفاعل الأشخاص مع شهادتك عند استيرادها ومراجعة الشهادات المستوردة واستكشاف الأخطاء وإصلاحها. الممارسة والمتطلبات الموصى بها من MSFT هي أن يكون للجذر اسم ذو مغزى يحدد مؤسستك وليس شيئًا مجردًا وشائعًا مثل CA1.

    ينطبق هذا الجزء التالي على أسماء الوسيطة / subCA التي سيتم تقييدها لغرض معين: المصادقة مقابل التوقيع مقابل التشفير

    والمثير للدهشة أن المستخدمين النهائيين والفنيين الذين لا يفهمون الفروق الدقيقة في PKI سوف يتفاعلون مع أسماء الخوادم التي تختارها أكثر مما تعتقد إذا كنت تستخدم S / MIME أو التوقيعات الرقمية (إلخ).

    أنا شخصياً أعتقد أنه من الجيد إعادة تسمية الشهادات المصدرة إلى شيء أكثر سهولة في الاستخدام مثل & quotCompany Signer 1 & quot حيث يمكنني معرفة ذلك في لمحة

    • من هو التوقيع الذي سيأتي من (Texas A & ampM أو منافسهم)
    • ما هو استخدامه؟ التشفير مقابل التوقيع

    من المهم معرفة الفرق بين الرسالة التي تم تشفيرها بين طرفين والأخرى التي تم توقيعها. أحد الأمثلة حيث يكون هذا مهمًا هو إذا كان بإمكاني إقناع المستلم بترديد بيان أرسله إليه. يمكن للمستخدم "أ" إخبار المستخدم "ب" & quotA ، أنا مدين لك بـ 100 دولار & quot. إذا استجاب B بصدى لتلك الرسالة بمفتاح خاطئ ، فعندئذٍ قاموا بتوثيق دين وهمي بقيمة 100 دولار (مقابل مجرد تشفير) رقميًا.

    إليك نموذج حوار مستخدم لـ S / MIME. توقع واجهات مستخدم مماثلة للشهادات المستندة إلى Brower. لاحظ كيف أن اسم المُصدر ليس سهل الاستخدام.

    ترميزات بديلة

    ملاحظة: عند الحديث عن الأسماء ، إذا كان أي ارتباط في السلسلة يستخدم ترميزًا بديلاً ، فقد لا يتمكن العملاء من التحقق من حقل المُصدر للموضوع. لا يقوم Windows بتطبيع هذه السلاسل أثناء المقارنة ، لذا تأكد من تطابق أسماء CA من منظور ثنائي (على عكس توصية RFC).

    عمليات نشر عالية الأمان / جناح ب

    الخوارزمية سرية للغاية

    التشفير: المعيار المتقدم (AES) 128 بت 256 بت

    التوقيع الرقمي: خوارزمية التوقيع الرقمي (ECDSA) منحنى 256 بت. منحنى 384 بت

    تبادل المفاتيح: منحنى Diffie-Hellman (ECDH) 256 بت. منحنى 384 بت

    Hashing: Secure Hash Algorithm (SHA) SHA-256 SHA-384

    For Suite B compliance, the ECDSA_P384#Microsoft Software Key Service Provider as well as the 384 key size and SHA384 as the hash algorithm may also be selected if the level of classification desired is Top Secret. The settings that correspond with the required level of classification should be used. ECDSA_P521 is also available as an option. While the use of a 521 bit ECC curve may exceed the cryptographic requirements of Suite B, due to the non-standard key size, 521 is not part of the official Suite B specification.

    XP clients and many non-windows systems do not support this new signature format. This should be disabled if older clients need to be supported. More Info

    I would only recommend using it once you move to ECC algorithms for asymmetric encryption. (source)

    Protect Microsoft CA DCOM ports

    The Windows Server 2003 CA does not enforce encryption on the ICertRequest or ICertAdmin DCOM interfaces by default. Normally, this setting is not required except in special operational scenarios and should not be enabled. Only Windows Server 2003 machines by default support DCOM encryption on these interfaces. For example, Windows XP clients will not by default enforce encryption on certificate request to a Windows Server 2003 CA. source

    CNG private key storage vs CSP storage

    If you enroll Certificate Template v3, the private key goes into the CNG private key storage on the client computer. If you enroll Certificate Template v2 or v1, the private key goes into CSP storage. The certificates will be visible to all applications in both cases, but not their private keys - so most applications will show the certificate as available, but will not be able to sign or decrypt data with the associated private key unless they support CNG storage.

    You cannot distinguish between CNG and CSP storages by using the Certificate MMC. If you want to see what storage a particular certificate is using, you must use CERTUTIL -repairstore my * (or CERTUTIL -user -repairstore my * ) and take a look at the Provider field. If it is saying ". Key Storage Provider", than it is CNG while all other providers are CSP.

    If you create the initial certificate request manually (Create Custom Request in MMC), you can select between "CNG Storage" and "Legacy Key" where legacy means CSP. The following is my experience-based list of what does not support CNG - you cannot find an authoritative list anywhere, so this arrises from my investigations over time:

    EFS Not supported in Windows 2008/Vista, Supported in Windows 7/2008R2

    user encryption certificates

    VPN/WiFi Client (EAPTLS, PEAP Client)

    Windows 2008/7 Not supported with user or computer certificate authentication

    TMG 2010 server certificates on web listeners

    Outlook 2003 user email certificates for signatures or encryption

    Kerberos Windows 2008/Vista- DC certificates

    System Center Operations Manager 2007 R2

    System Center Configuration Manager 2007 R2

    Forefront Identity Manager 2010 Certificate Management

    More information on CNG compatibility is listed here (in Czech, though Chrome handles the auto-translation well)

    Smart Cards & Issuing CAs

    If you plan on giving users a second smart card for authentication, use a second issuer CA for that. Reason: Windows 7 requirements

    Use the Windows command CERTUTIL -viewstore -enterprise NTAuth for troubleshooting Smartcard logins. The local NTAuth store is the result of the last Group Policy download from the Active Directory NTAuth store. It is the store used by smart card logon, so viewing this store can be useful when troubleshooting smart card logon failures.

    Decommissioning a PKI Tree

    If you deploy two PKI trees, with the intent to decommission the legacy tree at some point (where all old devices have become obsolete or upgraded) it may be a good idea to set the CRL Next Update field to Null. This will (should?) prevent the continual polling for new CRLS to the clients. The reasoning is that once the PKI is decommissioned, there will be no more administration, and no more revoked certs. All remaining certs are simply left to expire.


    The answer to your question is نعم. You must convert the X.509 into a PFX and import it. There is no separate key store in Windows.

    You can convert your certificate using OpenSSL with the following command:

    In Windows, you تستطيع have private keys "by themselves". Programmatically, you use CryptAquireContext() to access a key "by name". The CryptoAPI contains many functions which allow you to import and use keys, independently of certificates.

    However, there is no existing graphical interface or file format for handling private keys, and applications do not use keys by name. They use certificates. Certificates, in Windows, are stored "elsewhere", but each certificate in the "My" store can optionally contain a link to a corresponding private key (the link would really be a CSP name, and name of a container within that CSP). This maps to what is expected in various protocols. For instance, in SSL, when the server requests a client authentication with a private key, it actually asks for a certificate: the client must present a certificate, and then, only then, demonstrate that it also has access to the corresponding private key.

    Thus, in practice, certificates and keys "live together" and keys are reached only through certificates. A certificate and its private key travel together, and this means a PKCS#12 file (aka "PFX").


    The easiest way is running xelatex instead of pdflatex . It detects itself PostScript code or eps images in the document and does the conversion on the fly. If you do not want to use xelatex then there are other solutions:

    If you have an up-to-date TeX distribution use

    and then run your document with pdflatex -shell-escape <file> . Then the PSTricks images are created on-the-fly as stand alone pdf images and saved in <file>-pics.pdf . If you have an older system use

    For Windows you have to install a Perl version, if you want to use the full power of the auto-pst-pdf package. However, if you do not want or cannot install Perl then use

    There is also a Perl script pst2pdf which can create the document with pdflatex and also the PSTricks images as pdf|png|whatever images. It takes the preamble of the main document and creates stand-alone-documents for all PostScript specific code.


    ProxyCommnad

    So for a concrete example, say you have access to a server with IP 0.0.1.2 with a user account named bar (Server C). But to get to it you have to first login to a server with IP 0.0.1.1 with user account named foo (Server B). Now you want to copy file baz.txt located on your current machine (Machine A) to server 0.0.1.2 's /home/bar/ directory. To use the above ProxyCommand for this example you would execute the following:

    You can also just as easily copy a file from Server C by switching the order of the file and destination. So for example, if baz.txt was already on server 0.0.1.2 located at /home/bar/ then you could copy it to your machine using:

    Hope this helps people that need things spelled out for them a bit more than others.


    There are three types of certificate stores in Windows.

    Each of the three stores contain a number of folders which certificates go into

    • Personal (can be known as My when using scripts to add certs)
    • Trusted Root Certification Authority (can be known as Root)
    • Enterprise Trust
    • Intermediate Certification Authority
    • Active Directory User Object
    • Trusted Publishers
    • Untrusted Certificates
    • Third Party Root Certification Authorities
    • Trusted People

    These can be seen if you open up an mmc.exe with the Certificates snapin.

    Depending on what the certificate is meant to be doing you have to work out where it would go.

    Most of the time on the servers we support we use the Computer Account store (as its accessible by all users on a Computer) and put certificates in the Personal store. Some times you might need to add in the signing authority public key certs into the Root and Intermediate Root CAs.


    شاهد الفيديو: ArcGIS Monitor - Demo for Administrators