Доброго всем утра.
Прошу помощи в прояснении алгоритма работы с сертификатами в Win2003CA+Outlook. Заранее спасибо за участие.
Дана задача, как всегда, руководством, обеспечить электронные подписи и шифрование пересылаемой почты (пока внутри домена, а после, возможно, и наружу). В данный момент все идет гладко, кроме некоторых вопросов, их суть ниже:
- я поднял корневой СА предприятия
- в default domain policy импортировал сертификат корневого СА в раздел "доверенные центры сертификации", там же разрешил автоматические запросы на выдачу сертификатов для пользователей.
- создал копию AutoMailUser с шаблона "Пользователь", разрешил автоматическую выдачу сертификатов для всех пользователей домена, разрешил их публикацию в AD.
Дальше сидел и спокойно смотрел, как новые сертификаты спокойно пополняют раздел "Выданные сертификаты".
Вопрос №1 - непонятно, почему на одного пользователя автоматически выдается больше 1 одинакового сертификата AutoMailUser (кому-то 2, кому-то 3, лично мне вообще 6)
Вопрос №2 - если с любой машины открыть консоль "Сертификаты", то автоматически выданные сертификаты отображаются только в закладке "Объект пользователя Active Directory" и Outlook их не видит. Для того, чтобы Outlook их увидел, необходимо либо скопировать сертификат в закладку "Личные" в консоли "Сертификаты", либо запросить с клиентской машины новый сертификат и инсталлировать его. Можно ли сделать так, чтобы выданные и опубликованные в AD сертификаты автоматически инсталлировались на клиентской машине или автоматически подтягивались в клиентский Outlook?
Вопрос №3 - в поисках истины натолкнулся на один из ответов уважаемого Павла Козлова на этом форуме, цитирую: "Для того чтобы один пользователь смог зашифровать сообщение, а другой расшифровать, оба должны иметь один доверенный центр сертификации. Если отправитель и получатель находятся в рамках одного домена. То достаточно инсталировать клиентский сертификат на машине отправителя и выбрать в свой-вах Outlook тип шифрования. Потом при написании писем в сво-вах указывается нобходимость шифрования и письмо шифруется. При получении подобноо письма получать запрашивает AD на предмет валидного сертификата отправителя и при помощи секретного ключа из этого сертификата расшифровывает письмо.".
Вопрос состоит в том - как можно сделать так, чтобы внутри домена при шифровании почты не требовалось импортировать сертификат получателя на локальную машину (не добавлять получателя в контакты Outlook), а чтобы сертификат запрашивался напрямую в AD?
Прошу помощи в прояснении алгоритма работы с сертификатами в Win2003CA+Outlook. Заранее спасибо за участие.
Дана задача, как всегда, руководством, обеспечить электронные подписи и шифрование пересылаемой почты (пока внутри домена, а после, возможно, и наружу). В данный момент все идет гладко, кроме некоторых вопросов, их суть ниже:
- я поднял корневой СА предприятия
- в default domain policy импортировал сертификат корневого СА в раздел "доверенные центры сертификации", там же разрешил автоматические запросы на выдачу сертификатов для пользователей.
- создал копию AutoMailUser с шаблона "Пользователь", разрешил автоматическую выдачу сертификатов для всех пользователей домена, разрешил их публикацию в AD.
Дальше сидел и спокойно смотрел, как новые сертификаты спокойно пополняют раздел "Выданные сертификаты".
Вопрос №1 - непонятно, почему на одного пользователя автоматически выдается больше 1 одинакового сертификата AutoMailUser (кому-то 2, кому-то 3, лично мне вообще 6)
Вопрос №2 - если с любой машины открыть консоль "Сертификаты", то автоматически выданные сертификаты отображаются только в закладке "Объект пользователя Active Directory" и Outlook их не видит. Для того, чтобы Outlook их увидел, необходимо либо скопировать сертификат в закладку "Личные" в консоли "Сертификаты", либо запросить с клиентской машины новый сертификат и инсталлировать его. Можно ли сделать так, чтобы выданные и опубликованные в AD сертификаты автоматически инсталлировались на клиентской машине или автоматически подтягивались в клиентский Outlook?
Вопрос №3 - в поисках истины натолкнулся на один из ответов уважаемого Павла Козлова на этом форуме, цитирую: "Для того чтобы один пользователь смог зашифровать сообщение, а другой расшифровать, оба должны иметь один доверенный центр сертификации. Если отправитель и получатель находятся в рамках одного домена. То достаточно инсталировать клиентский сертификат на машине отправителя и выбрать в свой-вах Outlook тип шифрования. Потом при написании писем в сво-вах указывается нобходимость шифрования и письмо шифруется. При получении подобноо письма получать запрашивает AD на предмет валидного сертификата отправителя и при помощи секретного ключа из этого сертификата расшифровывает письмо.".
Вопрос состоит в том - как можно сделать так, чтобы внутри домена при шифровании почты не требовалось импортировать сертификат получателя на локальную машину (не добавлять получателя в контакты Outlook), а чтобы сертификат запрашивался напрямую в AD?