none
Získání komerčního certifikátu

    Dotaz

  • Zdravím všechny,
    řeším problém se získáním ověřeného komerčního serverového certifikátu pro zabezpečenou komunikaci. Jsem asi tatar, ale vyloženě nevím jak s tím.
    Používám Windows Server 2008
    V IIS v Server Certificates dáme Create Certificate Request a vytvořím si žádost o certifikát v PEM formátu. Ten následně vložím do formuláře na webu ICA a získám tím request soubor podle kterého je mi na pobočce certifikační autority vydán požadovaný certifikát.
    Ten je mi ale úplně k ničemu, protože mi chybí v serveru privátní část.

    Nemohl by mi někdo prosím prozradit step-by-step návod, jak se tohle řeší? Já totiž fakt nevím :-(

    Předem díky všem
    15. prosince 2009 8:34

Odpovědi

Všechny reakce

  • Ahoj,
    chces rict ze ti ICA vyda certifikat ve kterem je jenom public key :-O ?
    Nebo je jen v blbem formatu?

    MP
    15. prosince 2009 8:48
    Moderátor
  • Díky za reakci. Privátní klíč (PEM format) mám, ale při instalaci pomocí instalačního HTML formátu (a nebo při importu pemu) zůstanu na chybě

    Chyba při instalaci certifikátu:
    CertEnroll::CX509Enrollment::p_InstallResponse: The certificate is revoked. 0x80092010 (-2146885616)

    Přiznám se, že certifikátům zrovna nehovím a že bych jim příliš rozuměl se také říct nedá. Jak to vlastně funguje? Při vytváření žádosti žádosti se mi v počítači vytvoří nějaká žádost, se kterou se pak vystavený certifikát páruje, nebo jak?
    15. prosince 2009 12:00
  • Ahoj,
    jde ti certifikat nainstalovat jeho "otevrenim" a pruvodcem (kamkoliv)? Mas nainstalovan korenovy certifikat ICA?

    MP
    15. prosince 2009 13:18
    Moderátor
  • Ahoj,
    kořenový certifikát od ICA instalovaný mám. Přímo spuštěním a instalací certifikátu (der) ho nainstaluji, nicméně nevidím ho jako osobní, ale jen mezi Ostatní uživatelé a následně nejde vyexportovat.

    Mohl by jsi mi prosím ještě napsat, jak vlastně funguje vytváření té žádosti?

    Jirka
    15. prosince 2009 14:10
  • V MMC "certifikaty pro lokalni pocitac" by mela byt videt zadost.
    Pokud se podepsana zadost nainstaluje pomoci teto MMC, mel by se svazat s touto zadosti ulozenou v serveru.

    Pri vytvareni zadosti certifikatu je doporuceno zazalohovat i vlastni zadost.
    Tj ve vyse uvedene MMC vyexportovat zadost vcetne privatniho klice.
    15. prosince 2009 14:34
  • V MMC "certifikaty pro lokalni pocitac" by mela byt videt zadost.
    Pokud se podepsana zadost nainstaluje pomoci teto MMC, mel by se svazat s touto zadosti ulozenou v serveru.

    Pri vytvareni zadosti certifikatu je doporuceno zazalohovat i vlastni zadost.
    Tj ve vyse uvedene MMC vyexportovat zadost vcetne privatniho klice.

    MT, díky za odpověď ale tady si právě myslím, že je můj problém. V této konzoli mám strom se žádostmi o certifikát. Ale ať se snažím jakkoliv, je stále prázdný :-(
    15. prosince 2009 14:52
  • jaky certificate store oteviras?

    MP
    15. prosince 2009 14:54
    Moderátor
  • Koukám do Certificate Enrollment Requests.
    15. prosince 2009 15:27
  • Tak co, nějaké nápady? :-(
    17. prosince 2009 11:15
  • a v jakem store? computer? user? service?

    MP
    • Označen jako odpověď e-Jirka 18. prosince 2009 13:01
    17. prosince 2009 12:33
    Moderátor
  • Aha, díky Mirku! Problém byl samozřejmě mezi židlí a klávesnicí - koukal jsem se do špatného store...
    18. prosince 2009 13:01
  • Super,
    hezke svatky!

    MP
    18. prosince 2009 14:46
    Moderátor
  • Zdravím Také mám podobný problém. Vygeneroval jsem pomocí offline aplikace žádost o vystavení certifikátu pro uživatele FrantaS. Na pobočce CSOB jsme dostal pro něj certifikát, který teď na PC chci přes jejich dodanou htm stránku nainstalovat do IE8 a do PC.
    Frantas používá Windows Vista Business 64bit, stanice je součástí domény, IE8 a java je ve verzi 1.6 build18. Uživatel nemá administrátorská práva.
    Mám podezření jestli nějak do té instalace certifikátu a nebo už při spouštění offline aplikace od 1CA - "generovaní požadavku" do toho celého procesu nezasáhla funkcionalita "Virtuál Store" . Nevím jak to přesně funguje jen vím že to má vazby na bezpečnost.
    Certifikát musím napoprvé nainstalovat tam kde jsem generoval požadavek a pak teprve hned vytvořit zálohu certifikátu a osobního klíče, který zazálohovat. Tak je to potom přenositelné kamkoliv jinam.
    Vyzkoušel jsem při instalaci certifikátu odmítnout instalaci dodaného root certifikátu a napsalo mi to podobnou chybu.
    Chyba při instalaci certifikátu:
    CX509Enrollment::get_InstallResponse: Uživatel operaci zrušil. 0x800704c7 (WIN32:1223)
    Na jiných stanicích kde ale byly WXP 32bit proběhla instalace certifikátu bez problémů. Také máme další stanice s Vista Business 64bit a čtečkou karet, kde používáme certifikáty od 1CA ale na čipových kartách a funguje to. Jenom jsem zjistil jeden rozdíl že uživatelův certifikát je uložen v různých úložištích. Konkrétně v těchto: Osobní, Ostatní uživatelé a Požadavek na zápis certifikátu.
    Co je třeba zkontrolovat a nastavit? Už mě nic nenapadá. Chyba asi bude u mě ale kde?
    Z technické pomoci 1CA mi už nejsou ochotni pomoci. Napsali mi že jim to funguje a šmytec.


    Pokud máte nějaký zajímavý link na problematiku "Virtual store" sem s ním pročtu si to abych to pochopil.
     Děkuji za odpověď a pomoc.
    12. února 2010 11:22
  • Prosim neprilepuj k vyresenym dotazum (ty potencialni raditele nectou) ale zaloz novy s pripadnym odkazem na podobny problem. Koneckoncu problem asi JE JINY.

    Dik

    MP
    12. února 2010 11:23
    Moderátor