Jak udělat stejně důvěryhodný certifikát jako má SBS2008 z jiného W2008R2 serveru v síti?

Všechny reakce

• 

  

  0

  Přihlásit se a hlasovat

  Spustite MMC konzolu s pravami lokalneho administratora ( pravy klik na MMC.EXE, zvolit RunAs administrator ). Nacitajte snap-in "Certificates", v ramci neho "Computer store - Local computer". Tu naimportujte certifikat, ktory ste vyexportovali z SBS, do zoznamu doveryhodnych CA.

  Boris

  čtvrtek 24. března 2011 14:09

  Reagovat

  |

  Citovat
• 

  

  0

  Přihlásit se a hlasovat

  Bohužel, stále to samé, i tímto způsobem to proběhne, zahlásí se úspěch, ale certifikát se mezi důvěryhodnými neobjeví :(

  ---

  Jan

  čtvrtek 24. března 2011 17:54

  Reagovat

  |

  Citovat
• 

  

  0

  Přihlásit se a hlasovat

  Hmm, to znie zvlastne ... Len pre istotu ci som pochopil Vas problem : mate na SBS web ( SharePoint ), ktory chcete spristupnit cez HTTPS. Momentalne je tam self-signed certifikat, teda certifikat vygenerovany tym SBS strojom. Ak na stranky SharePointu pristupujete cez HTTPS lokalne, z SBS stroja, tak sa IE tvari, ze je vsetko v poriadku. Ked vsak na tento SharePoint pristupujete z ineho PC ( uvadzate iny server, Windows Server 2008 R2 ), tak sa zobrazi najprv varovanie, ze certifikat nie je v poriadku a ze sa neodporuca pokracovat. Tvrdite, ze je to tym, ze certifikat nebol vystaveny doveryhodnou CA ( pretoze je self-signed ). Ano? Opravte ma prosim, ak sa mylim a nepochopil som zadanie.

   

  Nez budem pisat dalej - je dolezite, aby sedel "subject name" v certifikate s URL, na ktoru pristupujete z toho Win2008R2 stroja. To znamena, ze ak je v v certifikate v Subject Name napriklad "sbs" a vy pristupujete na " https://sbs.domena.local/ ", tak budete v IE vidiet chybove hlasenie VZDY, nech je certifikat vygenerovany akoukolvek certifikacnou autoritou. To same plati, ak zadavate do URL IP adresu ( aj keby bola akokolvek platna, nezhoduje sa so Subject Name v certifikate = ERROR ).

   

  Len pre uplnost uvadzam podrobny postup importu self-signed certifikatu z SBS na Windows Server 2008 R2 :

  1. Na Windows Server 2008 R2 otvorte stranku Sharepoint cez HTTPS
  2. V IE kliknite na ikonku certifikatu, zobrazte si ho, na zalozke "Details" zvolte v spodnej casti "Copy to file ..."
  3. Ulozte certifikat na pevny disk ( napr. c:\cert.cer )
  4. Spustite MMC ( Start - MMC / pravy klik, z menu vybrat "Run as administrator" )
  5. V MMC konzoli menu File - Add / Remove Snap-In
  6. Oznacte snap-in "Certificates", zvolte Add a vyberte "Computer account", Tlacidlo Next a potvrdte "Local computer" ( tlacidla Finish a OK ).
  7. V strukture vlavo prejidte do Console Root \ Certificates (Local Computer) \ Trusted Root Certification Authorities \ Certificates
  8. V MMC konzoli zvolte menu Action - All Tasks - Import...
  9. Nabrowsite sa k ulozenemu certifikatu ( c:\cert.cer )
  10. Na obrazovke "Certificate store" - "Place all certificates in the following store" = "Trusted Root Certification Athorities"
  11. (tento krok nie je povinny) Stlacte tlacidlo Browse, zaskrtnite "Show physical stores", potom rozbalte "Trusted Root Certification Authorities" a oznacte "Local Computer" a potvrdte OK. (tento krok nie je povinny)
  12. Dokoncite Import. Certifikat sa mozno hned nezobrazi - v MMC konzoli v menu Action zvolte Refresh.

   

  Napada ma ale este jedna vec : hodlate na tento SBS Server ( SharePoint ) pristupovat aj z inych pocitacov, ako len z toho Windows Server 2008 R2? A zaroven, je tento Win2008R2 v domene toho SBS?

   

  Ak ano, myslim, ze by bolo vhodnejsie tento self-signed certifikat dodat na klientov bud pomocou GPO :

  http://technet.microsoft.com/en-us/library/cc770315(WS.10).aspx ( najma krok 7 ).

  Alebo pomocou cmd:

  1. Prihlaste sa na SBS (domenovy radic) ako uzivatel s pravami Enterprise Admins.
  2. Spustite CMD ako uzivatel s pravami admina ( Start - CMD / pravy klik, z menu vybrat "Run as administrator" )
  3. Zadajte prikaz : certutil -dspublsih RootCA -f c:\cert.cer
     pricom c:\cert.cer je certifikat, ktory ziskate postupom uvedenym v krokoch 2. a 3. predosleho postupu.
  4. Na klientoch spustite gpupdate /force, alebo ich restartujte alebo cakajte ... do 2 hodin by mal byt certifikat rozdistribuovany ( ak prikaz v kroku c. 3 prebehol uspesne ).

   

  Tretia moznost ... Zaobstarajte si certifikat pre vas SharePoint od vseobecne doveryhodnej CA, ako napriklad VeriSign alebo Thawte ( tie su platene ), pripadne skuste Comodo ( http://www.comodo.com/e-commerce/ssl-certificates/free-ssl-cert.php - na 90 dni, ale zadarmo a na 99.3% funkcny), alebo StartSLL PKI ( http://www.startssl.com/?app=1 - na 1 rok, zadarmo ). Takyto certifikat date na SharePoint a na klientoch nemate co riesit ...

   

  Boris

  • Označen jako odpověď Jiří JanataMember středa 30. března 2011 12:01

  pátek 25. března 2011 16:33

  Reagovat

  |

  Citovat
• 

  

  0

  Přihlásit se a hlasovat

  mrkněte případně sem: https://hq.sevecek.com:666/Lists/Posts/Post.aspx?ID=24

  no dobrá, takže nějaké dotazy:

  a) na tom SBS, kde vám běží SharePoint máte certifikát vydaný nějakou certifikační autoritou? když se podíváte do jeho vlastností, tak na třetí záložce vidíte jenom jeden ten certifikát, nebo je tam nějaký "strom"

  b) pokud tam je strom, tak vy jste vyexportoval ten nejhornější (root) certifikát? nebo když tam strom nebyl, tak jste vyexportoval ten konkrétní certifikát?

  c) v tom certifikátu, který jste vyexportoval je napsáno v políčku "vlastník" a "vydavatel" úplně přesně to stejné? takový certifikát potřebujete - to je self-signed certifikát a ten musíte naimportovat na tom druhém serveru

  d) můžete mi ten certifikát poslat, mrknu se co vlastně máte: ondrej zavinac sevecek.com

  e) na tom druhém serveru jste to importoval skutečně do Truste Root Certification Authorities do Local Computer store jak vám radil kolega?

  ondra.

   

  ---

  Přijďte na GOPAS TechEd 2011!

   

  
  

  sobota 26. března 2011 13:24

  Reagovat

  |

  Citovat