поставил win 2003 server enterprise edition поднял сервер сертификатов смысл - в том, чтобы поднять vpn-сетку на роутере, а аутентификацию проводить по сертификатам с сервера теперь роутер просит загрузить с сервака "root certificate" собственно, вопрос - где его взять? может, кто-то уже занимался подобным вопросом буду рад любой инфомации по настройке такой конфигурации
Member
Статус: Не в сети Регистрация: 09.08.2004 Откуда: TSC! Russia
rcmonitor Вот с технета выдержка
Цитата:
1.На компьютере, подключенном к домену, запустите Internet Explorer, а затем перейдите на веб-узел администрирования служб сертификации.
2.На странице приветствия щелкните ссылку Загрузка сертификата ЦС, цепочки сертификатов или CRL, а затем ссылку Загрузка сертификата ЦС.
3.Сохраните файл certnew.cer на компьютере, затем переименуйте его, присвоив ему описательное имя, например root.cer.
4.Используйте механизм передачи файлов, например электронную почту или FTP-узел, чтобы передать CER-файл соответствующим удаленным пользователям.
Вообще в корректной установке сервера/серверов сертификации есть много ньюансов, и при отсутсвии опыта можно легко ошибиться. Очень рекомендую почитать соотвествующие статьи на Технете
фишка - в том, что у меня нет ни доменов, ни active directory, ибо в них нет необходимости за сцылу - спс, ща покурю any additional information is kindly hailed
да, там - практически то, что мне надо, но у меня - серьёзная проблема: при установке служб сертификации кнопка Enterprise root CA (корневой цс предприятия) - не активна; а если ставить изолированный корневой цс, то в консоли управления сертификатами нет шаблонов (templates) не могу понять, в чём засада?
Member
Статус: Не в сети Регистрация: 09.08.2004 Откуда: TSC! Russia
rcmonitor писал(а):
при установке служб сертификации кнопка Enterprise root CA (корневой цс предприятия) - не активна;
опции Enterprise root CA и Enterprise subordinate CA не могут быть выбраны, так как сервер не является элементом домена.
rcmonitor писал(а):
а если ставить изолированный корневой цс, то в консоли управления сертификатами нет шаблонов (templates)не могу понять, в чём засада?
Вообще по политикам безопасности root CA должен выдавать сертификаты только центра сертификации, а уж они в свою очередь должны выдавать сертификаты конечным пользователям. Срок жизни корневого сертификата лучше ставить сразу лет 10 =) Вот еще раздельчик на технете. Я бы вообще предложил поставить корневой центр сертификации на виртуалку.
Member
Статус: Не в сети Регистрация: 09.08.2004 Откуда: TSC! Russia
Но в мануале не написано, что этот сервер не в домене. Только клиенты не в домене. Мне кажеться если попробовать сервак сделать контроллером домена, в котором будет только он один, то будет возможность выбрать эту опцию при установке службы сертификации. Не уверен правда что это оптимальный путь
я вот одного не очень понимаю - железка(роутер) просит загрузить на неё корневой сертификат с сервера сертификатов - это разовая движуха, и после загрузки на сервер сертификатов можно будет забить, или она потом регулярно будет сверяться с сервером?
потому, как , если сертификат будет нужен только один раз, то действительно проще и безопаснее будет поставить 2003 как контроллер домена из-под virtual pc
Member
Статус: Не в сети Регистрация: 09.08.2004 Откуда: TSC! Russia
rcmonitor Вообще не регулярно, а только при первом запросе, и более того рекомендуют его (корневой цс) отрубить. Попробуй поставить все-таки на виртуалку, с доменом. Я думаю должно получиться, а виртуалку потом на всякий случай забэкапить на пару dvd-r и стереть.
в общих чертах, затея прошла удачно только я не понял, нужна ли мне эта статья: http://support.microsoft.com/kb/555281 ведь мне не нужно поднимать ipsec-server соответственно, и сертификат нужно не создавать по ipsec-шаблону, а просто экспортнуть корневой. как это сделать и где находится корневой сертификат?
Member
Статус: Не в сети Регистрация: 09.08.2004 Откуда: TSC! Russia
rcmonitor писал(а):
ведь мне не нужно поднимать ipsec-serverсоответственно, и сертификат нужно не создавать по ipsec-шаблону,
этого не надо делать. Просто эта ссылка была в треде
rcmonitor писал(а):
как это сделать и где находится корневой сертификат?
опять на помощь приходит технет
Цитата:
На компьютере, на котором установлены сертификаты корневого центра сертификации, войдите в систему от имени локального администратора, нажмите кнопку Пуск, введите в поле поиска команду MMC и нажмите клавишу ВВОД. Если появится приглашение ввести или подтвердить пароль администратора, сделайте это.
В пустой консоли щелкните Файл, а затем выберите команду Добавить или удалить оснастку.
В диалоговом окне Добавление или удаление оснастки выберите элемент Сертификаты и нажмите кнопку Добавить.
В окне Оснастка диспетчера сертификатов выберите параметр учетной записи компьютера и нажмите кнопку Далее.
Убедитесь, что в диалоговом окне Выбор компьютера выбран вариант Локальный компьютер: (компьютер, на котором запущена эта консоль), и нажмите кнопку Готово.
В диалоговом окне Добавить изолированную оснастку нажмите кнопку ОК, чтобы закрыть диалоговое окно Добавление или удаление оснасток.
В консоли разверните оснастку Сертификаты (локальный компьютер), а затем разверните узел Доверенные корневые центры сертификации.
Дважды щелкните узел Сертификаты, чтобы раскрыть хранилище сертификатов. Найдите первый доверенный корневой сертификат, который требуется для развертывания операционной системы на клиентах.
Щелкните нужный сертификат правой кнопкой мыши, выберите пункт Все задачи, а затем пункт Экспорт для запуска Мастераэкспорта сертификатов.
В окне мастера экспорта сертификатов нажмите кнопку Далее.
На странице Формат экспортируемого файла убедитесь в том, что выбран вариант Файлы в DER-кодировке X.509 (.CER), и нажмите кнопку Далее.
На странице Имя экспортируемого файла укажите путь и имя файла экспортируемого сертификата и нажмите кнопку Далее.
На странице Завершение мастера экспорта сертификатов нажмите кнопку Готово.
Чтобы подтвердить, что экспорт завершен успешно, нажмите кнопку ОК в диалоговом окне Мастера экспорта сертификатов.
Дважды щелкните узел Сертификаты, чтобы раскрыть хранилище сертификатов. Найдите первый доверенный корневой сертификат, который требуется для развертывания операционной системы на клиентах.
в этом-то и засада - там сертификатов - под сотню мне-то какой нужен?
Добавлено спустя 1 час 3 минуты 59 секунд: выгрузил сертификат netlock загружаю на железку - она просит ещё какой-то private key где его взять?
ага, ещё почитал вот такую статью: http://support.microsoft.com/kb/939616 там приблизительно о том же, но это - экспорт сертификата вместе с ключём в файл-контейнер с расширением .pfx роутер таких шуток не понимает - он просит отдельно сертификат и отдельно - ключ
Добавлено спустя 7 минут 17 секунд: есть там рядом ещё вот такая статья: http://technet.microsoft.com/en-us/library/cc758042(WS.10).aspx по просмотру контейнеров "PKCS #7 file" (p7b) но при экспорте у меня есть возможность выбрать только "PKCS #12 file" (pfx)
Добавлено спустя 10 часов 54 минуты: вроде-бы нашёл статейку: http://support.microsoft.com/kb/555252 по-идее, как раз то, что мне надо - про корневой сертификат но, после экспорта, private key там всё-равно нету, не важно - загружаешь сам сертификат(*.cer), или цепочку сертификатов(*.p7b) я так понимаю, что засада кроется здесь: http://technet.microsoft.com/en-us/library/cc737187(WS.10).aspx а именно:
Цитата:
In the Certificate Export Wizard, click Yes, export the private key. (This option will appear only if the private key is marked as exportable and you have access to the private key.)
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 23
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения