| 03.12.2002 18:40:34 | Проблемы с клиентским сертификатом | | Ответов: 3 |
|
 Сергей | | |
|
1). При получении клиенского сертификата через веб-интерфейс MS Cert Server - не запрашивается имя для поля "issued to" сертификата, а используется из логина на IIS.
2). Получил с помощью MS Certificate Server клиентский сертификат, подсовываю его IISу при запросе SLL, а IIS отвечает: "Сертификат отозван или не могу проверить статус отозванности сертификата" - думается, IIS лезет за CRL на сервер с MS Cert Serv, а там этого CRL нет (я проверял) - разве MS Cert Serv не имеет пустого CRL (по дефолту), или его надо создать, или проблема вообще в другом?
3). Часто получается так: заказываю у MS Cert Serv клиентский сертификат - сервер генерит запрос и ответ и выдает страничку со ссылкой "Install certificate", инсталлирую, но при попытке установить SSL в списке клиентских сертификатов для подачи веб-серверу - его нет. В чем беда? (в хранилище current user\personal сертификат есть, т.е. проинсталлился)
|
| |
Ответы:
|
| 21.03.2005 0:36:04 | Александр (Darkowl) |
|
1). Да, так и есть - имя сертификата и поле issued to будет как логин в браузере. Если обрабатывать запрос через MMC - все равно будет использоваться логин. Но использовать сертификат сможет любой человек, если его импротировать в его хранилище сертификатов - там есть нюансы.
2)IIS лезет по урлу, указанному в сертификате, и пытается получить с него файлик CRL и CRL+. Если CDP не указан, то не лезет, но он обычно есть. И если эти файлы получить не удасться, то сертификат принят не будет. CRL файлы изначально есть, но не содержат отозванных сертификатов, в этом то и должен убедится сервер. Где CA размещает CRL указано в его свойствах. Он всегда их хранит в System32\CertSRV\Enroll
3)Значит в хранилище для машины (не для пользователя) нет рутового сертификата. Или для пользователя нету. Или на сервере его нету, и IIS не может его получить. |
|
| 21.03.2005 10:28:19 | Василий |
|
Дополнение по третьему пункту:
IE на компьютере клиента выдаёт список только тех сертификатов, которые выданы такими центрами сертификации, к которым есть доверие на сервере IIS. |
|
| 21.03.2005 12:21:51 | Александр (Darkowl) |
|
| Да, именно так. Ошибка, которую я допустил - импортировал CA сертификат под пользователем, и для IIS он был недоступен. Импортировав через остнастку MMC для компьютера я эту проблему решил. |
|
