Форум администраторов Windows

Серверные системы Microsoft => Windows Server 2003 => Тема начата: niknikitin89 от 20 Август 2014, 15:00:59

Название: Центр сертификации
Отправлено: niknikitin89 от 20 Август 2014, 15:00:59
Здравствуйте!

В организации есть необходимость выдавать наши Сертификаты проверки подлинности клиента сторонним пользователям, которые не входят в домен. Почитав про возможности ЦС пришел к выводу, что сделать это легко, достаточно организовать доступ к ЦС из интернета.
ЦС поставил, он из интернета доступен... а потом начались проблемы. Сертификаты генерируются почему-то только с машины, на которой он стоит. Даже из локальной сети запросы не проходят. Точнее проходят, но сразу отклоняются с пометкой "Затребовано недопустимое имя субъекта или имя слишком длинное". Читал про настройки шаблонов сертификатов, но толком ничего не получилось.
В общем помогите кто чем может. Как мне настроить выдачу сертификатов проверки подлинности клиентов?
Название: Re: Центр сертификации
Отправлено: itpro от 20 Август 2014, 16:29:37
Насколько я понял задачу - вам придется самому генерировать сертификаты, передавать их каким-то способом внешним клиентам, а они должны их устанавливать. Плюс думаю, они должны добавить ваш корневой сертификат в доверенные (http://winitpro.ru/index.php/2015/11/02/ustanovka-sertifikata-na-kompyutery-domena-s-pomoshhyu-gruppovyx-politik/), это отсчете различные ошибки недоверия к самоподписанным (вашим) сертификатам
Название: Re: Центр сертификации
Отправлено: itpro от 20 Август 2014, 16:33:07
Upd.
Либо нужно давать доступ внешним пользователям к веб-морде центра сертификации, с которой они могут сами выписать сертификат (но это менее секретно, т.к. потенциально кто угодно сможет сгенерировать себе ваш сертификат)
Название: Re: Центр сертификации
Отправлено: niknikitin89 от 20 Август 2014, 16:41:34
Собственно замысел в том и состоит: пользователь со стороны имеет доступ к веб-части центра, где он формирует запрос на сертификат. Сертификат автоматом не выдается, требуется подтверждение от администратора, т.е. от меня. И вот в тот момент, когда я этот запрос подтверждаю, центр его отбрасывает, ругаясь на недопустимое имя субъекта.
Название: Re: Центр сертификации
Отправлено: itpro от 20 Август 2014, 16:56:32
Ок, идея ясна.
Хотелось бы увидеть ошибку целиком, возможно на самом деле превышена длина поля субъект (по моему dns имя субъекта , которому выдается сертификат, в запросе не должно превышать 64 символа).
Название: Re: Центр сертификации
Отправлено: niknikitin89 от 20 Август 2014, 17:02:34
Полностью ошибка выглядит так:
"Затребовано недопустимое имя субъекта или имя слишком длинное. 0х80094001 (-2146877439)"
Название: Re: Центр сертификации
Отправлено: itpro от 20 Август 2014, 17:46:00
Гугл по запросу The request subject name is invalid or too long 0х80094001 однозначно отправляет на KB _http://support.microsoft.com/kb/312344
Вот совет для 2008 CA:
_http://www.fir3net.com/Windows-2008/windows-2008-ca-error-constructing-or-publishing-certificate.html
Название: Re: Центр сертификации
Отправлено: niknikitin89 от 20 Август 2014, 18:12:56
Да, заработало ;D
Спасибо большое)