Серверные системы Microsoft > Windows Server 2003
Центр сертификации
niknikitin89:
Здравствуйте!
В организации есть необходимость выдавать наши Сертификаты проверки подлинности клиента сторонним пользователям, которые не входят в домен. Почитав про возможности ЦС пришел к выводу, что сделать это легко, достаточно организовать доступ к ЦС из интернета.
ЦС поставил, он из интернета доступен... а потом начались проблемы. Сертификаты генерируются почему-то только с машины, на которой он стоит. Даже из локальной сети запросы не проходят. Точнее проходят, но сразу отклоняются с пометкой "Затребовано недопустимое имя субъекта или имя слишком длинное". Читал про настройки шаблонов сертификатов, но толком ничего не получилось.
В общем помогите кто чем может. Как мне настроить выдачу сертификатов проверки подлинности клиентов?
itpro:
Насколько я понял задачу - вам придется самому генерировать сертификаты, передавать их каким-то способом внешним клиентам, а они должны их устанавливать. Плюс думаю, они должны добавить ваш корневой сертификат в доверенные, это отсчете различные ошибки недоверия к самоподписанным (вашим) сертификатам
itpro:
Upd.
Либо нужно давать доступ внешним пользователям к веб-морде центра сертификации, с которой они могут сами выписать сертификат (но это менее секретно, т.к. потенциально кто угодно сможет сгенерировать себе ваш сертификат)
niknikitin89:
Собственно замысел в том и состоит: пользователь со стороны имеет доступ к веб-части центра, где он формирует запрос на сертификат. Сертификат автоматом не выдается, требуется подтверждение от администратора, т.е. от меня. И вот в тот момент, когда я этот запрос подтверждаю, центр его отбрасывает, ругаясь на недопустимое имя субъекта.
itpro:
Ок, идея ясна.
Хотелось бы увидеть ошибку целиком, возможно на самом деле превышена длина поля субъект (по моему dns имя субъекта , которому выдается сертификат, в запросе не должно превышать 64 символа).
Навигация
Перейти к полной версии