none
Jak udělat stejně důvěryhodný certifikát jako má SBS2008 z jiného W2008R2 serveru v síti?

    Dotaz

  • Ahojte, předem upozorňuji, že jsem v tomto fóru hledal, ale odpověď nenašel nebo jí nerouzmím.

    Jde o to, že chci z jiného serveru mé místní síti pouštět sharepoint a rád bych to dělal přes https, ovšem s důvěryhodným certifikátem.

    Web z primárního SBS s tím problém nemá, certifikát je ok.

    Ale z toho druhého serveru to ne na nemůžu dostat do důvěryhodných kořenových certifikátů... i když ho tam dám naimportovat (ať už přes IE nebp přes certmgr.msc), vždy zahlási že import proběhl úspěšně, ale certifikát se na kýženém místě neobjeví a tudíž není nic vyřešeno...

    Co dělám špatně?

    Díky a hezký den!


    Jan
    24. března 2011 10:20

Odpovědi

  • Hmm, to znie zvlastne ... Len pre istotu ci som pochopil Vas problem : mate na SBS web ( SharePoint ), ktory chcete spristupnit cez HTTPS. Momentalne je tam self-signed certifikat, teda certifikat vygenerovany tym SBS strojom. Ak na stranky SharePointu pristupujete cez HTTPS lokalne, z SBS stroja, tak sa IE tvari, ze je vsetko v poriadku. Ked vsak na tento SharePoint pristupujete z ineho PC ( uvadzate iny server, Windows Server 2008 R2 ), tak sa zobrazi najprv varovanie, ze certifikat nie je v poriadku a ze sa neodporuca pokracovat. Tvrdite, ze je to tym, ze certifikat nebol vystaveny doveryhodnou CA ( pretoze je self-signed ). Ano? Opravte ma prosim, ak sa mylim a nepochopil som zadanie.

     

    Nez budem pisat dalej - je dolezite, aby sedel "subject name" v certifikate s URL, na ktoru pristupujete z toho Win2008R2 stroja. To znamena, ze ak je v v certifikate v Subject Name napriklad "sbs" a vy pristupujete na " https://sbs.domena.local/ ", tak budete v IE vidiet chybove hlasenie VZDY, nech je certifikat vygenerovany akoukolvek certifikacnou autoritou. To same plati, ak zadavate do URL IP adresu ( aj keby bola akokolvek platna, nezhoduje sa so Subject Name v certifikate = ERROR ).

     

    Len pre uplnost uvadzam podrobny postup importu self-signed certifikatu z SBS na Windows Server 2008 R2 :

    1. Na Windows Server 2008 R2 otvorte stranku Sharepoint cez HTTPS
    2. V IE kliknite na ikonku certifikatu, zobrazte si ho, na zalozke "Details" zvolte v spodnej casti "Copy to file ..."
    3. Ulozte certifikat na pevny disk ( napr. c:\cert.cer )
    4. Spustite MMC ( Start - MMC / pravy klik, z menu vybrat "Run as administrator" )
    5. V MMC konzoli menu File - Add / Remove Snap-In
    6. Oznacte snap-in "Certificates", zvolte Add a vyberte "Computer account", Tlacidlo Next a potvrdte "Local computer" ( tlacidla Finish a OK ).
    7. V strukture vlavo prejidte do Console Root \ Certificates (Local Computer) \ Trusted Root Certification Authorities \ Certificates
    8. V MMC konzoli zvolte menu Action - All Tasks - Import...
    9. Nabrowsite sa k ulozenemu certifikatu ( c:\cert.cer )
    10. Na obrazovke "Certificate store" - "Place all certificates in the following store" = "Trusted Root Certification Athorities"
    11. (tento krok nie je povinny) Stlacte tlacidlo Browse, zaskrtnite "Show physical stores", potom rozbalte "Trusted Root Certification Authorities" a oznacte "Local Computer" a potvrdte OK. (tento krok nie je povinny)
    12. Dokoncite Import. Certifikat sa mozno hned nezobrazi - v MMC konzoli v menu Action zvolte Refresh.

     

    Napada ma ale este jedna vec : hodlate na tento SBS Server ( SharePoint ) pristupovat aj z inych pocitacov, ako len z toho Windows Server 2008 R2? A zaroven, je tento Win2008R2 v domene toho SBS?

     

    Ak ano, myslim, ze by bolo vhodnejsie tento self-signed certifikat dodat na klientov bud pomocou GPO :

    http://technet.microsoft.com/en-us/library/cc770315(WS.10).aspx ( najma krok 7 ).

    Alebo pomocou cmd:

    1. Prihlaste sa na SBS (domenovy radic) ako uzivatel s pravami Enterprise Admins.
    2. Spustite CMD ako uzivatel s pravami admina ( Start - CMD / pravy klik, z menu vybrat "Run as administrator" )
    3. Zadajte prikaz : certutil -dspublsih RootCA -f c:\cert.cer
      pricom c:\cert.cer je certifikat, ktory ziskate postupom uvedenym v krokoch 2. a 3. predosleho postupu.
    4. Na klientoch spustite gpupdate /force, alebo ich restartujte alebo cakajte ... do 2 hodin by mal byt certifikat rozdistribuovany ( ak prikaz v kroku c. 3 prebehol uspesne ).

     

    Tretia moznost ... Zaobstarajte si certifikat pre vas SharePoint od vseobecne doveryhodnej CA, ako napriklad VeriSign alebo Thawte ( tie su platene ), pripadne skuste Comodo ( http://www.comodo.com/e-commerce/ssl-certificates/free-ssl-cert.php - na 90 dni, ale zadarmo a na 99.3% funkcny), alebo StartSLL PKI ( http://www.startssl.com/?app=1 - na 1 rok, zadarmo ). Takyto certifikat date na SharePoint a na klientoch nemate co riesit ...

     

    Boris

    25. března 2011 16:33

Všechny reakce

  • Spustite MMC konzolu s pravami lokalneho administratora ( pravy klik na MMC.EXE, zvolit RunAs administrator ). Nacitajte snap-in "Certificates", v ramci neho "Computer store - Local computer". Tu naimportujte certifikat, ktory ste vyexportovali z SBS, do zoznamu doveryhodnych CA.

    Boris

    24. března 2011 14:09
  • Bohužel, stále to samé, i tímto způsobem to proběhne, zahlásí se úspěch, ale certifikát se mezi důvěryhodnými neobjeví :(
    Jan
    24. března 2011 17:54
  • Hmm, to znie zvlastne ... Len pre istotu ci som pochopil Vas problem : mate na SBS web ( SharePoint ), ktory chcete spristupnit cez HTTPS. Momentalne je tam self-signed certifikat, teda certifikat vygenerovany tym SBS strojom. Ak na stranky SharePointu pristupujete cez HTTPS lokalne, z SBS stroja, tak sa IE tvari, ze je vsetko v poriadku. Ked vsak na tento SharePoint pristupujete z ineho PC ( uvadzate iny server, Windows Server 2008 R2 ), tak sa zobrazi najprv varovanie, ze certifikat nie je v poriadku a ze sa neodporuca pokracovat. Tvrdite, ze je to tym, ze certifikat nebol vystaveny doveryhodnou CA ( pretoze je self-signed ). Ano? Opravte ma prosim, ak sa mylim a nepochopil som zadanie.

     

    Nez budem pisat dalej - je dolezite, aby sedel "subject name" v certifikate s URL, na ktoru pristupujete z toho Win2008R2 stroja. To znamena, ze ak je v v certifikate v Subject Name napriklad "sbs" a vy pristupujete na " https://sbs.domena.local/ ", tak budete v IE vidiet chybove hlasenie VZDY, nech je certifikat vygenerovany akoukolvek certifikacnou autoritou. To same plati, ak zadavate do URL IP adresu ( aj keby bola akokolvek platna, nezhoduje sa so Subject Name v certifikate = ERROR ).

     

    Len pre uplnost uvadzam podrobny postup importu self-signed certifikatu z SBS na Windows Server 2008 R2 :

    1. Na Windows Server 2008 R2 otvorte stranku Sharepoint cez HTTPS
    2. V IE kliknite na ikonku certifikatu, zobrazte si ho, na zalozke "Details" zvolte v spodnej casti "Copy to file ..."
    3. Ulozte certifikat na pevny disk ( napr. c:\cert.cer )
    4. Spustite MMC ( Start - MMC / pravy klik, z menu vybrat "Run as administrator" )
    5. V MMC konzoli menu File - Add / Remove Snap-In
    6. Oznacte snap-in "Certificates", zvolte Add a vyberte "Computer account", Tlacidlo Next a potvrdte "Local computer" ( tlacidla Finish a OK ).
    7. V strukture vlavo prejidte do Console Root \ Certificates (Local Computer) \ Trusted Root Certification Authorities \ Certificates
    8. V MMC konzoli zvolte menu Action - All Tasks - Import...
    9. Nabrowsite sa k ulozenemu certifikatu ( c:\cert.cer )
    10. Na obrazovke "Certificate store" - "Place all certificates in the following store" = "Trusted Root Certification Athorities"
    11. (tento krok nie je povinny) Stlacte tlacidlo Browse, zaskrtnite "Show physical stores", potom rozbalte "Trusted Root Certification Authorities" a oznacte "Local Computer" a potvrdte OK. (tento krok nie je povinny)
    12. Dokoncite Import. Certifikat sa mozno hned nezobrazi - v MMC konzoli v menu Action zvolte Refresh.

     

    Napada ma ale este jedna vec : hodlate na tento SBS Server ( SharePoint ) pristupovat aj z inych pocitacov, ako len z toho Windows Server 2008 R2? A zaroven, je tento Win2008R2 v domene toho SBS?

     

    Ak ano, myslim, ze by bolo vhodnejsie tento self-signed certifikat dodat na klientov bud pomocou GPO :

    http://technet.microsoft.com/en-us/library/cc770315(WS.10).aspx ( najma krok 7 ).

    Alebo pomocou cmd:

    1. Prihlaste sa na SBS (domenovy radic) ako uzivatel s pravami Enterprise Admins.
    2. Spustite CMD ako uzivatel s pravami admina ( Start - CMD / pravy klik, z menu vybrat "Run as administrator" )
    3. Zadajte prikaz : certutil -dspublsih RootCA -f c:\cert.cer
      pricom c:\cert.cer je certifikat, ktory ziskate postupom uvedenym v krokoch 2. a 3. predosleho postupu.
    4. Na klientoch spustite gpupdate /force, alebo ich restartujte alebo cakajte ... do 2 hodin by mal byt certifikat rozdistribuovany ( ak prikaz v kroku c. 3 prebehol uspesne ).

     

    Tretia moznost ... Zaobstarajte si certifikat pre vas SharePoint od vseobecne doveryhodnej CA, ako napriklad VeriSign alebo Thawte ( tie su platene ), pripadne skuste Comodo ( http://www.comodo.com/e-commerce/ssl-certificates/free-ssl-cert.php - na 90 dni, ale zadarmo a na 99.3% funkcny), alebo StartSLL PKI ( http://www.startssl.com/?app=1 - na 1 rok, zadarmo ). Takyto certifikat date na SharePoint a na klientoch nemate co riesit ...

     

    Boris

    25. března 2011 16:33
  • mrkněte případně sem: https://hq.sevecek.com:666/Lists/Posts/Post.aspx?ID=24

    no dobrá, takže nějaké dotazy:

    a) na tom SBS, kde vám běží SharePoint máte certifikát vydaný nějakou certifikační autoritou? když se podíváte do jeho vlastností, tak na třetí záložce vidíte jenom jeden ten certifikát, nebo je tam nějaký "strom"

    b) pokud tam je strom, tak vy jste vyexportoval ten nejhornější (root) certifikát? nebo když tam strom nebyl, tak jste vyexportoval ten konkrétní certifikát?

    c) v tom certifikátu, který jste vyexportoval je napsáno v políčku "vlastník" a "vydavatel" úplně přesně to stejné? takový certifikát potřebujete - to je self-signed certifikát a ten musíte naimportovat na tom druhém serveru

    d) můžete mi ten certifikát poslat, mrknu se co vlastně máte: ondrej zavinac sevecek.com

    e) na tom druhém serveru jste to importoval skutečně do Truste Root Certification Authorities do Local Computer store jak vám radil kolega?

    ondra.

     


    Přijďte na GOPAS TechEd 2011!

     


    26. března 2011 13:24