Автор Тема: Центр сертификации  (Прочитано 90512 раз)

niknikitin89

  • Новичок
  • *
  • Сообщений: 5
  • Репутация: 0
    • Просмотр профиля
Центр сертификации
« : 20 Август 2014, 15:00:59 »
Здравствуйте!

В организации есть необходимость выдавать наши Сертификаты проверки подлинности клиента сторонним пользователям, которые не входят в домен. Почитав про возможности ЦС пришел к выводу, что сделать это легко, достаточно организовать доступ к ЦС из интернета.
ЦС поставил, он из интернета доступен... а потом начались проблемы. Сертификаты генерируются почему-то только с машины, на которой он стоит. Даже из локальной сети запросы не проходят. Точнее проходят, но сразу отклоняются с пометкой "Затребовано недопустимое имя субъекта или имя слишком длинное". Читал про настройки шаблонов сертификатов, но толком ничего не получилось.
В общем помогите кто чем может. Как мне настроить выдачу сертификатов проверки подлинности клиентов?

itpro

  • Administrator
  • Sr. Member
  • *****
  • Сообщений: 444
  • Репутация: 204
    • Просмотр профиля
Re: Центр сертификации
« Ответ #1 : 20 Август 2014, 16:29:37 »
Насколько я понял задачу - вам придется самому генерировать сертификаты, передавать их каким-то способом внешним клиентам, а они должны их устанавливать. Плюс думаю, они должны добавить ваш корневой сертификат в доверенные, это отсчете различные ошибки недоверия к самоподписанным (вашим) сертификатам
« Последнее редактирование: 02 Ноябрь 2015, 10:27:29 от itpro »

itpro

  • Administrator
  • Sr. Member
  • *****
  • Сообщений: 444
  • Репутация: 204
    • Просмотр профиля
Re: Центр сертификации
« Ответ #2 : 20 Август 2014, 16:33:07 »
Upd.
Либо нужно давать доступ внешним пользователям к веб-морде центра сертификации, с которой они могут сами выписать сертификат (но это менее секретно, т.к. потенциально кто угодно сможет сгенерировать себе ваш сертификат)

niknikitin89

  • Новичок
  • *
  • Сообщений: 5
  • Репутация: 0
    • Просмотр профиля
Re: Центр сертификации
« Ответ #3 : 20 Август 2014, 16:41:34 »
Собственно замысел в том и состоит: пользователь со стороны имеет доступ к веб-части центра, где он формирует запрос на сертификат. Сертификат автоматом не выдается, требуется подтверждение от администратора, т.е. от меня. И вот в тот момент, когда я этот запрос подтверждаю, центр его отбрасывает, ругаясь на недопустимое имя субъекта.

itpro

  • Administrator
  • Sr. Member
  • *****
  • Сообщений: 444
  • Репутация: 204
    • Просмотр профиля
Re: Центр сертификации
« Ответ #4 : 20 Август 2014, 16:56:32 »
Ок, идея ясна.
Хотелось бы увидеть ошибку целиком, возможно на самом деле превышена длина поля субъект (по моему dns имя субъекта , которому выдается сертификат, в запросе не должно превышать 64 символа).

niknikitin89

  • Новичок
  • *
  • Сообщений: 5
  • Репутация: 0
    • Просмотр профиля
Re: Центр сертификации
« Ответ #5 : 20 Август 2014, 17:02:34 »
Полностью ошибка выглядит так:
"Затребовано недопустимое имя субъекта или имя слишком длинное. 0х80094001 (-2146877439)"

itpro

  • Administrator
  • Sr. Member
  • *****
  • Сообщений: 444
  • Репутация: 204
    • Просмотр профиля
Re: Центр сертификации
« Ответ #6 : 20 Август 2014, 17:46:00 »
Гугл по запросу The request subject name is invalid or too long 0х80094001 однозначно отправляет на KB _http://support.microsoft.com/kb/312344
Вот совет для 2008 CA:
_http://www.fir3net.com/Windows-2008/windows-2008-ca-error-constructing-or-publishing-certificate.html

niknikitin89

  • Новичок
  • *
  • Сообщений: 5
  • Репутация: 0
    • Просмотр профиля
Re: Центр сертификации
« Ответ #7 : 20 Август 2014, 18:12:56 »
Да, заработало ;D
Спасибо большое)