В общем сабж и все что ним связано... Искал инфу, но как его нормально развернуть, чтобы можно было одним пользователем выдавать сертификаты другим пользователям, и вообще как его нормально настроить... Нигде не могу найти инструкции по развертыванию сабжа... Давайте ссылки по сабжу....
» Центр Сертификаци в Win2003
Ну что никто не знает как его настраивать чтоль???
А искать не пробовал????
1. F1. Всегда рулит...
2. http://search.microsoft.com/results.aspx?q=CA+deploy+2003+%28site%3Ahttp%3A%2F%2Fwww.microsoft.com%2Ftechnet%2F+%7C+site%3Ahttp%3A%2F%2Fwww.microsoft.com%2Fresources%2Fdocumentation%2F%29&l=1&mkt=en-US&FORM=QBME1
т.е. поиск в первоисточнике. Тоже рулит
1. F1. Всегда рулит...
2. http://search.microsoft.com/results.aspx?q=CA+deploy+2003+%28site%3Ahttp%3A%2F%2Fwww.microsoft.com%2Ftechnet%2F+%7C+site%3Ahttp%3A%2F%2Fwww.microsoft.com%2Fresources%2Fdocumentation%2F%29&l=1&mkt=en-US&FORM=QBME1
т.е. поиск в первоисточнике. Тоже рулит
Там ничего такого что можно понять! В хелпе в поедельник поковыряюсь, спасибо, может действительно чего найду в F1
IceFusion
1. Ставится и настраивается достаточно просто (по сравнению с другими CA - этот просто убожество)
2. В хелпе действительно много написано. Разобраться доствточно легко. Ключевой момент - все запросы к СА делаются через WEB интерфейс. А вот решение о выдаче или невыдаче сертификата - через MMC оснастку.
3. Основная проблема у людей возникает в самой постановке дела - технологии работы и инфраструктуре ее поддержки. Но это не пособие по настройке - нужно читать книжки по этой тематике. Здесь об этом спрашивать бессмысленно.
1. Ставится и настраивается достаточно просто (по сравнению с другими CA - этот просто убожество)
2. В хелпе действительно много написано. Разобраться доствточно легко. Ключевой момент - все запросы к СА делаются через WEB интерфейс. А вот решение о выдаче или невыдаче сертификата - через MMC оснастку.
3. Основная проблема у людей возникает в самой постановке дела - технологии работы и инфраструктуре ее поддержки. Но это не пособие по настройке - нужно читать книжки по этой тематике. Здесь об этом спрашивать бессмысленно.
Я его поставил, а толку, теперь есть на контроллере домена CA поднята IIS но доступа нет, типа у меня нет прав (я имею ввиду через веб интерфейс). Хорошо было бы если бы вы посоветовали мне книжку котоую можно прочитать, так как нормальной инфы по настройке нет, я по крайней мере не нашел!
А чё за другие CA откуда их взять, это ни какие нибудь там "КриптоПРО CSP" и чё нить в этом роде???
Добавлено:
Вот нашел не плохой ресурс, там конечно немного но все же что то начинает проясняться, хотя на самом деле там по моему для начала все описано, а на главной еще несолько ссылок на статьи, очень не плохие, интересный ресурс....
http://trainers2000.narod.ru/Server2003/article11.htm
А чё за другие CA откуда их взять, это ни какие нибудь там "КриптоПРО CSP" и чё нить в этом роде???
Добавлено:
Вот нашел не плохой ресурс, там конечно немного но все же что то начинает проясняться, хотя на самом деле там по моему для начала все описано, а на главной еще несолько ссылок на статьи, очень не плохие, интересный ресурс....
http://trainers2000.narod.ru/Server2003/article11.htm
IceFusion
Цитата:
Цитата:
Цитата:
Цитата:
типа у меня нет прав- ну так сам и ответил - иди в настройки IIS, см. "Безопасность"
Цитата:
это ни какие нибудь там "КриптоПРО CSP" и чё нить в этом роде- да, но не это слово и туда лезть не нужно - там очень серьезные люди, не понимающие шуток.
Цитата:
мне книжку котоую можно прочитать- посмотри книжки по Win2003, поройся на сайте КриптоПРО, просто поищи в сети по словам "Центр Сертификации", поройся в книжках http://www.medigo.ru/
Что значит:
- да, но не это слово и туда лезть не нужно - там очень серьезные люди, не понимающие шуток.
Я сегодня поднял изолированный ЦС на VMware, там все ок, теперь надо какой то его сертификат добавить в мой доменный ЦС, только вот какой там не понимаю, ну ничего разберусь как нить!
- да, но не это слово и туда лезть не нужно - там очень серьезные люди, не понимающие шуток.
Я сегодня поднял изолированный ЦС на VMware, там все ок, теперь надо какой то его сертификат добавить в мой доменный ЦС, только вот какой там не понимаю, ну ничего разберусь как нить!
IceFusion
Не думаю, что ты будешь покупать софт у людей из ФАПСИ (а тем более его тырить)
Не думаю, что ты будешь покупать софт у людей из ФАПСИ (а тем более его тырить)
Дело в том что купить мы его хотели, только нам сказали что нам нужно для этого разрешение ФСБ или ФАПСИ правда я не понимаю что такое ФАПСИ!!!!
Цитата:
А чё за другие CA откуда их взять, это ни какие нибудь там "КриптоПРО CSP" и чё нить в этом роде???
Не путайте "теплое" и "мягкое"...
"КриптоПРО CSP" - это по большому счету набор библиотек, содержащих функции криптографической обработки информации, работы с хранилищами и сертификатами. Эти функции реализуют один или несколько алгоритмов криптографии.
CA - это оболочка для работы с сертификатами (выпуск и отзыв) и списками отозванных сертификатов, из которой происходит обращение к криптографическим функциям какого-то криптосервиспровайдера. Можно написать свою такую оболочку, используя функции CryptoAPI, которые от конкретных криптографических алгоритмов не зависят.
1. Microsoft Base Cryptographic Provider v1.0 Базовый провайдер службы шифрования в операционной системе Windows. Поддерживает полный спектр всех функций криптографии.
2. Microsoft Strong Cryptographic Provider Этот компонент представляет собой дополнение к Microsoft Base Cryptographic Provider и доступен только в операционных системах Windows 2000, XP. Поддерживает функции как Microsoft Base Cryptographic Provider, так и Microsoft Enhanced Cryptographic Provider, но позволяет использовать более длинные ключи, чем базовый компонент. Ключи прежнего размера формируются этим компонентом по умолчанию.
3. Microsoft Base DSS and Diffie-Hellman Cryptographic Provider Этот компонент обеспечивает выполнение всех функций, связанных с оформлением цифровой подписи и ее проверки, что и Microsoft Base DSS Cryptographic Provider, но при этом поддерживает обмен ключами Диффи-Хеллмана, которые имеют длину 40 бит.
4. Microsoft Base DSS Cryptographic Provider Этот компонент поддерживает только функции хэширования, оформления цифровой подписи и проверки ее достоверности и не реализует функции шифрования.
5. Microsoft Enhanced Cryptographic Provider v1.0 Этот компонент поддерживает функционирование тех же алгоритмов, что и Micrisoft Base Cryptographic Provider, но использует при этом более длинные ключи и дополнительные алгоритмы.
6. Microsoft RSA SChannel Cryptographic Provider Этот компонент поддерживает выполнение алгоритма RSA при хэшировании, оформлении цифровой подписи и ее проверке. Также поддерживает протоколы аутентификации клиента SSL3 и TLS1. Доступен только в операционных системах Windows 2000, XP.
7. Microsoft DH SChannel Cryptographic Provider Этот компонент поддерживает обмен ключами Диффи-Хеллмана и протокол SChannel.
Вот что надыбал, теперь вопрос: для того чтобы использовать SSL и TLS нужно выбирать 6 или в 2 тоже поддерживается SSL??? Поднял я у себя корневой изолированный ЦС, он создал ключ длинной 2048 использовал при этом 2... Блин надо же было все так заапутать!
Добавлено:
Мне нужно создать иерархию ЦС, состоящюю из Двух ЦС, один изолированный корневой, другой подчиненный интегрированный в AD... Задача создать сертификат на корневом изолированном ЦС и прикрутить его к подчиненному, через веб интерфейс зашел, а там чё то не понятно все написано, какой именно сертификат нужно создать, и как сделать так чтобы для того подчиненного корневой был..... блин уже не знаю как объяснить, я кажется все усложнил у себя в голове.....
В книге написано: после установки ЦС определите расположение в сети списка CRL и точки доступа к сведениям о точке доступа к сертификации (AIA)...... странно, но в книге забыли написать где это расположение определить, ведь по большому счету в консоли ЦС настроек таких нет, или я не посмотрел... Кто это все поднимал, поделитесь знаниями!!!
Добавлено:
Извиняюсь нашел в книжке.... но все равно делитесь народ, я так понял что эта тема еще очень плохо раскрыта, по крайней мере тут на форуме, безопасность великое дело!!!
2. Microsoft Strong Cryptographic Provider Этот компонент представляет собой дополнение к Microsoft Base Cryptographic Provider и доступен только в операционных системах Windows 2000, XP. Поддерживает функции как Microsoft Base Cryptographic Provider, так и Microsoft Enhanced Cryptographic Provider, но позволяет использовать более длинные ключи, чем базовый компонент. Ключи прежнего размера формируются этим компонентом по умолчанию.
3. Microsoft Base DSS and Diffie-Hellman Cryptographic Provider Этот компонент обеспечивает выполнение всех функций, связанных с оформлением цифровой подписи и ее проверки, что и Microsoft Base DSS Cryptographic Provider, но при этом поддерживает обмен ключами Диффи-Хеллмана, которые имеют длину 40 бит.
4. Microsoft Base DSS Cryptographic Provider Этот компонент поддерживает только функции хэширования, оформления цифровой подписи и проверки ее достоверности и не реализует функции шифрования.
5. Microsoft Enhanced Cryptographic Provider v1.0 Этот компонент поддерживает функционирование тех же алгоритмов, что и Micrisoft Base Cryptographic Provider, но использует при этом более длинные ключи и дополнительные алгоритмы.
6. Microsoft RSA SChannel Cryptographic Provider Этот компонент поддерживает выполнение алгоритма RSA при хэшировании, оформлении цифровой подписи и ее проверке. Также поддерживает протоколы аутентификации клиента SSL3 и TLS1. Доступен только в операционных системах Windows 2000, XP.
7. Microsoft DH SChannel Cryptographic Provider Этот компонент поддерживает обмен ключами Диффи-Хеллмана и протокол SChannel.
Вот что надыбал, теперь вопрос: для того чтобы использовать SSL и TLS нужно выбирать 6 или в 2 тоже поддерживается SSL??? Поднял я у себя корневой изолированный ЦС, он создал ключ длинной 2048 использовал при этом 2... Блин надо же было все так заапутать!
Добавлено:
Мне нужно создать иерархию ЦС, состоящюю из Двух ЦС, один изолированный корневой, другой подчиненный интегрированный в AD... Задача создать сертификат на корневом изолированном ЦС и прикрутить его к подчиненному, через веб интерфейс зашел, а там чё то не понятно все написано, какой именно сертификат нужно создать, и как сделать так чтобы для того подчиненного корневой был..... блин уже не знаю как объяснить, я кажется все усложнил у себя в голове.....
В книге написано: после установки ЦС определите расположение в сети списка CRL и точки доступа к сведениям о точке доступа к сертификации (AIA)...... странно, но в книге забыли написать где это расположение определить, ведь по большому счету в консоли ЦС настроек таких нет, или я не посмотрел... Кто это все поднимал, поделитесь знаниями!!!
Добавлено:
Извиняюсь нашел в книжке.... но все равно делитесь народ, я так понял что эта тема еще очень плохо раскрыта, по крайней мере тут на форуме, безопасность великое дело!!!
Спасибо огромное качаю, думаю классная тема, столько всего!!! Где Вы рагьше были!
Добавлено:
Нет вы мне подсунули программирование, а это не интересно Но ничего! Любая инфа нужна!
Добавлено:
Нет вы мне подсунули программирование, а это не интересно
Но ничего! Любая инфа нужна!Сегодян все этьо начал настраивать, создал Изолированный корневой ЦС, потом на контроллере домена создал Подчиненный ЦС сохранил его запрос в файле, подсовываю этот файл Изолированному ЦС, он говорит что ошибка не может выдать сертификат так как чё то в политике не разрешено этому пользователю, т.е. Администратору получать сертификаты!!! Чё за ерязь??? Где ээта политика? Я уже весь gpedit.msc облазил 
Добавлено:
Модуль политики отверг запрос! Ваш запрос был отвергнут!
Добавлено:
Надо было права дать пользователю IUSR_........ анонимного пользователя IIS, вот кто бы раньше это написал! Осталась задача по пуликации списка отзыва сертификато, его то где публиковать? Да и еще почему под Администратором домена не могу править локальную политику на контроллере домена?
Добавлено:
Модуль политики отверг запрос! Ваш запрос был отвергнут!
Добавлено:
Надо было права дать пользователю IUSR_........ анонимного пользователя IIS, вот кто бы раньше это написал! Осталась задача по пуликации списка отзыва сертификато, его то где публиковать? Да и еще почему под Администратором домена не могу править локальную политику на контроллере домена?
IceFusion
Сходи сюда - почитай http://forum.ru-board.com/topic.cgi?forum=8&topic=10402#1
Цитата:
Сходи сюда - почитай http://forum.ru-board.com/topic.cgi?forum=8&topic=10402#1
Цитата:
Надо было права дать пользователю IUSR_........ анонимного пользователя IIS- а я тебе о чем писал ? (анонимный пользователь - это самое простое решение)
Так ты же не писал, как пользователь называется, кто его знает...
А как работрет "агент подачи заявок"? Я не могу понять могу ли я будучи агентом запрашивать, сертификаты на имя других пользователей, или пользователи сами могут запрашивать сертификаты, а агент потом их должен разрешить, так? Еще если я запрашиваю сертификат, то он мне его выдает (сертификат пользователя) но при этом говорит, что не может проверить что он именно от моего RootCA...
Это тоже настроил, просто сертификат RootCA я выложил в папку CertEnroll на подчиненном сервере сертификации!
Про агента вопрос все ещё открыт!
Чё все пропали, я все книги уже вычитал и хелпы и факи нет ни единого нормального описаня процедуры создания ЦС, не верю я что никто не знает как это делать! Щас попытался сделать доступ по SSL в IIS включил все галочки которые нужны, включил список доверенных сертификатов в которых мой RootCA, а толку никакого, поставил галочку требовать сертификат!!! Запросил для пользователя сертификат, там нету сертификата который называется SSL, но не хочет работать, не пойму что за фигня!
А как работрет "агент подачи заявок"? Я не могу понять могу ли я будучи агентом запрашивать, сертификаты на имя других пользователей, или пользователи сами могут запрашивать сертификаты, а агент потом их должен разрешить, так? Еще если я запрашиваю сертификат, то он мне его выдает (сертификат пользователя) но при этом говорит, что не может проверить что он именно от моего RootCA...
Это тоже настроил, просто сертификат RootCA я выложил в папку CertEnroll на подчиненном сервере сертификации!
Про агента вопрос все ещё открыт!
Чё все пропали, я все книги уже вычитал и хелпы и факи нет ни единого нормального описаня процедуры создания ЦС, не верю я что никто не знает как это делать! Щас попытался сделать доступ по SSL в IIS включил все галочки которые нужны, включил список доверенных сертификатов в которых мой RootCA, а толку никакого, поставил галочку требовать сертификат!!! Запросил для пользователя сертификат, там нету сертификата который называется SSL, но не хочет работать, не пойму что за фигня!
IceFusion
Цитата:
первая половина этого курса как раз и посвящена развертыванию PKI
Цитата:
Нет вы мне подсунули программирование, а это не интересно Но ничего! Любая инфа нужна!
первая половина этого курса как раз и посвящена развертыванию PKI
Я уж понял, ну а по поводу SSL сертификатов никто ничего не знает?
IceFusion
Цитата:
http://www.windowsecurity.com/articles/Protect-Web-Servers-SSL.html
Цитата:
по поводу SSL сертификатов никто ничего не знает?
http://www.windowsecurity.com/articles/Protect-Web-Servers-SSL.html
Понятно там все, я так и сделал, но пеерключатель у меня стоит в положении "Требовать сертификат пользователей" (Require sertificate) чё мне толку от защищенного соединения, нужно чтобы только мои пользователи с сертификатами получали доступ к ресурсу!!! Так вот не понятно какой сертификат нужно запросить пользователю, чтоб он смог подключиться при таких настройках IIS... Обычные сертификаты типа Пользователь и прочее не проканывают!
IceFusion
Цитата:
Цитата:
Чё все пропали, я все книги уже вычитал и хелпы и факи- прочти еще вот это - http://www.kpnemo.ru/humor/2006/03/12/dobro_pozhalovat_anonim/#full
Спасибо, я понял, но просто мне очень нужно, и я готов целый день задавать вопросы
Это буквально вопрос жизни и смерти!!! Не сердитесь и простите за излишнюю навязчивость...
Это буквально вопрос жизни и смерти!!! Не сердитесь и простите за излишнюю навязчивость...
У меня не поучается сделать чтобы по сертификату разрешался доступ к ресурсу
Поднял Изолированный Корневой ЦС, поднял Вторичный ЦС в AD, выдал ему сертификат Корневого ЦС, положил CRL в папку CertEnroll и еще сертификат RootCa тоже туда положил, я так понял он может удостоверить выданный сертификат, но блин не работает ничего, не понимаю просто какой сертификат нужен чтобы в IIS без него нельхя было обратиться!!!
Поднял Изолированный Корневой ЦС, поднял Вторичный ЦС в AD, выдал ему сертификат Корневого ЦС, положил CRL в папку CertEnroll и еще сертификат RootCa тоже туда положил, я так понял он может удостоверить выданный сертификат, но блин не работает ничего, не понимаю просто какой сертификат нужен чтобы в IIS без него нельхя было обратиться!!!
Нарылся, все о выдаче сертификатов настраивается в самих шаблонах...
кто подскажет, как удалить запись об Enterprise root CA из AD?
машина на которой был развернут ЦС больше не существует, а в остнастке Certification Autority она доступна...
машина на которой был развернут ЦС больше не существует, а в остнастке Certification Autority она доступна...
IceFusion
Цитата:
Речь идет о 2003 или 2000?
Если про 2000, то где это настраивается? Не могу найти...
Цитата:
все о выдаче сертификатов настраивается в самих шаблонах...
Речь идет о 2003 или 2000?
Если про 2000, то где это настраивается? Не могу найти...
О 2003!
Подня центр сертификации интегрированный в AD win2003.
сертификаты пользователей раздаються нормально, а вот сертификат компьтера, конторлера домена и некоторые другие не выдаються пишет
Цитата:
сертификат запрашивал через MMC=>Сертификаты=>Локальный компьютер=>Personal=>request new certificate
В чем может быть проблема?
сертификаты пользователей раздаються нормально, а вот сертификат компьтера, конторлера домена и некоторые другие не выдаються пишет
Цитата:
У вас нет разрешения на запрос сертификатов с доступных ЦС
сертификат запрашивал через MMC=>Сертификаты=>Локальный компьютер=>Personal=>request new certificate
В чем может быть проблема?
Предыдущая тема: Получение почты из интернета, exchange server
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.