Asked by:
Помогите установить и настроить службу сертификации

General discussion
-
Имеется контроллер домена на Windows Server 2008 R2 Enterprise.
На втором сервере Windows Server 2008 (без R2) поднят Exchange 2010.
Нужно развернуть службу сертификации.
Помогите это сделать правильно.- Changed type Nikita PanovModerator Wednesday, December 30, 2009 11:20 AM давность
All replies
-
-
А для чего, собственно, планируется использовать "службу сертификации"?..
Пока ради одного момента. Когда пользователи подключаются к Exchange через OWA им вываливается сообщение, что сертификат не действительный и все такое. Когда человек полдня проводит в почте, эти сообщения надоедают. Хочется правильно сделать - установить SSL-сертификат на Exchange Server. Для этого нужно установить корневой центр сертификации предприятия и сконфигурировать его для выпуска SSL-сертификатов. Можно выпустить самоподписанный сертификат, но клиенты не будут доверять такому сертификату. -
-
Тогда проще и правильнее, на мой взгляд, купить сертификат для веб сервера от независимого доверенного удостоверяющего центра, например, Verisign или Thawte.
Это решит только одну проблему. Плюс появляется еще две - нужны дополнительные $, как установить коммерческий сертификат. Хотелось бы: организовать передачу и прием сообщений другим почтовым серверам; безопасно аутентифицировать пользователей. Ибо происходит рассылка СПАМа от имени наших сотрудников. -
Имеется контроллер домена на Windows Server 2008 R2 Enterprise.
На втором сервере Windows Server 2008 (без R2) поднят Exchange 2010.
Нужно развернуть службу сертификации.
Помогите это сделать правильно.
http://technet.microsoft.com/ru-ru/library/cc783511(WS.10).aspx. С тех пор в общем-то ничего не изменилось.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Имеется контроллер домена на Windows Server 2008 R2 Enterprise.
На втором сервере Windows Server 2008 (без R2) поднят Exchange 2010.
Нужно развернуть службу сертификации.
Помогите это сделать правильно.
http://technet.microsoft.com/ru-ru/library/cc783511(WS.10).aspx . С тех пор в общем-то ничего не изменилось.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
Нужно ли устанавливать сетевой ответчик? -
-
Читаю мануал.
http://technet.microsoft.com/ru-ru/library/cc776709%28WS.10%29.aspx
Вот что я пока понял - написано не все.
Нужно установить роль сервера "Службы сертификации Active Directory".
Что нужно установить из списка?
- Центр сертификации (это я поставил)
- Служба регистрации в центре сертификации через Интернет
- Сетевой ответчик (это я поставил)
- Служба регистрации на сетевых устройствах
- Веб-служба регистрации сертификатов (может и это нужно?)
- Веб-служба политик регистрации сертификатов
-
Для начала просто примите значения по умолчанию, которые он предлагает. Это минимально необходимый набор. Если чего-то не хватит, то добавить функционал можно и потом
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Я установил с настройками по умолчанию Центр сертификации и Сетевой ответчик.
Теперь нужно создать новый шаблон сертификата.
Читаю руководство http://technet.microsoft.com/ru-ru/library/cc740077%28WS.10%29.asp
Открыл через mmc оснастку Шаблоны сертификатов.
Вопрос.
"Щелкните правой кнопкой мыши шаблон, который необходимо скопировать, и выберите команду Скопировать шаблон ."
Какой шаблон мне нужно скопировать? Или может что-то другое нужно делать? -
Шаблон того сертификата, на основании которого вы будете в дальнейшем выдавать сертификат своего CA. И пожалуйста, давайте прямые ссылки)) А то по вашей я такого раздела что-то не нашел
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Шаблон того сертификата, на основании которого вы будете в дальнейшем выдавать сертификат своего CA. И пожалуйста, давайте прямые ссылки)) А то по вашей я такого раздела что-то не нашел
Так там 33 шаблона.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
Отображаемое имя шаблона Минимально поддерживаемые ЦС Версия Назначения
CEP шифрование Windows 2000 4.1
IPSec Windows 2000 8.1
IPSec (автономный запрос) Windows 2000 7.1
RAS и IAS-сервер Windows Server 2003 Enterprise 101.0 Проверка подлинности клиента, Проверка подлинности сервера
Агент восстановления EFS Windows 2000 6.1
Агент восстановления ключей Windows Server 2003 Enterprise 105.0 Агент восстановления ключей
Агент регистрации Windows 2000 4.1
Агент регистрации (компьютер) Windows 2000 5.1
Агент регистрации Exchange (автономный запрос) Windows 2000 4.1
Администратор Windows 2000 4.1
Базовое шифрование EFS Windows 2000 3.1
Веб-сервер Windows 2000 4.1
Вход со смарт-картой Windows 2000 6.1
Компьютер Windows 2000 5.1
Контроллер домена Windows 2000 4.1
Корневой центр сертификации Windows 2000 5.1
Маршрутизатор (автономный запрос) Windows 2000 4.1
Обмен ЦС Windows Server 2003 Enterprise 106.0 Архивация закрытого ключа
Перекрестный центр сертификации Windows Server 2003 Enterprise 105.0
Подписывание кода Windows 2000 3.1
Подписывание отклика OSPC Windows Server 2008 Enterprise 101.0 Подписание OCSP
Подписывание списка доверия Windows 2000 3.1
Подчиненный центр сертификации Windows 2000 5.1
Пользователь Windows 2000 3.1
Пользователь Exchange Windows 2000 7.1
Пользователь со смарт-картой Windows 2000 11.1
Почтовая репликация каталога Windows Server 2003 Enterprise 115.0 Почтовая репликация службы каталогов
Проверенный сеанс Windows 2000 3.1
Проверка подлинности Kerberos Windows Server 2003 Enterprise 110.0 Проверка подлинности клиента, Проверка подлинности сервера, Вход со смарт-картой, Проверка подлинности центра распространения ключей
Проверка подлинности контроллера домена Windows Server 2003 Enterprise 110.0 Проверка подлинности клиента, Проверка подлинности сервера, Вход со смарт-картой
Проверка подлинности рабочей станции Windows Server 2003 Enterprise 101.0 Проверка подлинности клиента
Только подпись Exchange Windows 2000 6.1
Только подпись пользователя Windows 2000 4.1
Какой шаблон использовать мне для SSL?
Веб-сервер? -
Для SSL вы создадите сертификат потом. Сперва вам нужно создать сертификат корневого центра сертификации. Он будет служить, так сказать, "гарантом стабильности в регионе")) При наличии такого сертификата вашему СА будут доверять остальные компьютеры и пользователи. А запросить сертификат для Exchange можно уже позже, из консоли самого Exchange. Как это делается, подробно расписано вот тут
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html- Edited by Vinokurov Yuriy Friday, October 23, 2009 10:25 AM
-
-
Не могу создать запрос на сертификат
Пример
New-ExchangeCertificate –GenerateRequest –Path c:\hubcas1.txt –SubjectName cn=hubcas1.neilhobson.com –DomainName email.neilhobson.com, hubcas1, hubcas1.neilhobson.com –IncludeAcceptedDomains –IncludeAutodiscover –PrivateKeyExportable $true
Домен test.local
Почтовый сервер установлен на exchange.test.local
У меня получается такой запрос, но он не работает
New-ExchangeCertificate –GenerateRequest –Path c:\cert.txt –SubjectName cn=exchange.test.local –DomainName exchange.test.local, exchange, mail.test.com –IncludeAcceptedDomains –IncludeAutodiscover –PrivateKeyExportable $true
Ругается на -Path.
Убрал path. Получилось так
New-ExchangeCertificate –GenerateRequest –Path c:\cert.txt –SubjectName cn=exchange.test.local –DomainName exchange.test.local, exchange, mail.test.com –IncludeAcceptedDomains –IncludeAutodiscover –PrivateKeyExportable $true
Выделил и сохранил в текстовый файл получившийся запрос
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIEHTCCAwUCAQAwIjEgMB4GA1UEAwwXZXhjaGFuZ2UudW5pYmVsdXMubG9jYWww
ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCp5ZZKZZK/Mps9u8VLIfFB
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ptQfbmZUlve9e3UkVzT909kW7AHIvk9pa2x/pWbocF2y1xOtsRU0+HW7E10rdPIb
AaMD9pCzQwS6o0ASyMyOS7y+C9j9lTdKwqnUplQ7YnNx8TJXdKzcTvyIuH3CICZg
QQ==
-----END NEW CERTIFICATE REQUEST----- -
-
-
-
Уперся в проблему.
Нужно зайти в веб-интерфейс центра сертификации
Я добавил Веб-службу регистрации сертификатов.
Но так и не нашел как в нее войти.
http://server/certsrv не работает.
Вот по этому пути C:\Windows\system32\CertSrv\ru-RU файлы этого сайта есть? В IIS посмотрите, разрешен ли доступ к этому сайту
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Уперся в проблему.
Нужно зайти в веб-интерфейс центра сертификации
Я добавил Веб-службу регистрации сертификатов.
Но так и не нашел как в нее войти.
http://server/certsrv не работает.
Вот по этому пути C:\Windows\system32\CertSrv\ru-RU файлы этого сайта есть? В IIS посмотрите, разрешен ли доступ к этому сайту
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
Есть только CertEnroll. -
Тьфу)) Я по инерции дал вам путь для русской версии сервера. Вопрос насчет IIS и прав доступа к папке CertSrv остатся в силе
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Тьфу)) Я по инерции дал вам путь для русской версии сервера. Вопрос насчет IIS и прав доступа к папке CertSrv остатся в силе
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
Где в IIS посмотреть, разрешен ли доступ к этому сайту?
Среди пулов приложений есть:
DefaultAppPool
OCSPISAPIAppPool
WSEnrollmentServer
В C:\inetpub\wwwroot только старичка по умолчанию.
В Default Web Site есть ocsp и Test-AD1-CA_CES_Kerberos -
В IIS разворачиваете Default web site, выбираете CertSrv, в правой части окна нажимаете Edit permissions и там смотрите. И еще - у вас установлена роль AD Certificate Services. В Server Manager выберите ее и посмотрите, установлена ли служба роли Certificate authority web enrollment - именно она отвечает за наличие веб-интерфейса.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
В IIS разворачиваете Default web site, выбираете CertSrv, в правой части окна нажимаете Edit permissions и там смотрите. И еще - у вас установлена роль AD Certificate Services. В Server Manager выберите ее и посмотрите, установлена ли служба роли Certificate authority web enrollment - именно она отвечает за наличие веб-интерфейса.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
-
Вы писали, что нет такого каталога в папке Windows\system 32. Иногда это разные вещи. Служба Certificate authority web enrollment установлена?
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
У меня установлено из служб сертификации Active Directory:
Центр сертификации
Сетевой ответчик
Веб-служба регистрации сертификатов
Юрий, а можно как-нибудь голосом пообщаться?
Скайп, например.
Уже неделю пытаюсь настроить службы сертификации, а толка нет. -
Посмотрел на тестовом стенде. Установлены все службы, кроме сетевого ответчика. Выдача сертификатов работает. Установите оставшиеся службы роли (их всего 6).
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
-
-
Далее запрашиваем сертификат, выбираем Advansed Request, затем Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file. В появившемся диалоге вставляем содержимое нашего текстового файла, выбираем тип сертификата Web Server, нажимаем Submit, ставим галочку DER Encoded, и жмем Download Certificate. Все, сертификат мы получили. Затем, вооружившись словарем, переходим в восьмую часть данной статьи (ссылки ниже основного текста), чтобы импортировать и активировать сертификат.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
-
На какой стадии у вас пусто? Чуть ранее вы говорили, что их у вас более трех десятков.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
-
В консоли IIS создайте сертификат веб-сервера, как написано здесь. Потом повторите процедуру запроса сертификата через веб-интерфейс.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Я все сделал:
установил и настроил службу сертификации
сформировал запрос на сертификат
получил сертификат
импортировал и активировал сертификат.
Остались пробмемы с эксплуатацией этого сертификата.
Как внешним клиентам (ноутбукт вне домена) дать возможность работать с Exchange anywhere?
Когда заходишь доменным компом и юзвером на owa все равно ругается на сертификат.
Необходимо вручную импортировать сертификат на exchange и центр сертификации. -
Попробуйте импортировать его через доменные политики и утилиту certutil. Посмотрите похожую тему:
http://social.technet.microsoft.com/Forums/en/winserverGP/thread/be3d3a0c-ac30-4078-8078-13fd03278b70 -
-
вот описание certutil c сайта microsoft:
http://technet.microsoft.com/en-us/library/cc732443(WS.10).aspx
пример синтаксиса:
certutil.exe -addstore StoreName mycertificate.cer
это команда добавит сертификат mycertificate.cer в хранилище StoreName (имена сертификата и хранилища нужно заменить на нужные Вам).
На компьютерах не в домене эту команду можно выполнить вручную. -
-
Есть проблема с импортом сертификата на компах вне домена
Я пробовал (некоторые не важные параметры заменены на test)
C:\Windows>certutil.exe -addstore Trust certnew.cer
Trust
Сертификат "CN=Exchange, OU=IT, O=Test, L=Minsk, S=Test, C=Test" добавлен в х
ранилище.
CertUtil: -addstore - команда успешно выполнена.C:\Windows>certutil.exe -addstore My certnew.cer
My
Сертификат "CN=Exchange, OU=IT, O=Test, L=Test, S=Test, C=Test" добавлен в х
ранилище.
CertUtil: -addstore - команда успешно выполнена.C:\Windows>certmgr.exe -add -c RootCA.cer -s -r localMachine Root
Но в браузере все равно ругается на сертификат. -
-
-
-
Проверить наличие и доступность CRL помогает консоль pkiview.msc. Taк же можете попробовать выполнить следующую команду: certutil -verify -urlfetch <Cert_Name>.crt - эта команда проведет валидацию в вашем контексте безопасности и попытается выкачать все сертификаты и CRL с источника. Ну и, конечно, же, попробуйте получить сертификат и установить его в хранилище вручную.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
-
Прошу прощения, сертификат действительно должен быть в формате cer. crt - это немного другой тип.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Здравствуйте!
Почитал топик и у меня есть несколько комментариев.
> Нужно ли устанавливать сетевой ответчик?
Online Respinder целесообразно (но совсем не обязательно) устанавливать, если у вас есть клиенты Windows Vista и выше. Windows XP/2003 не поддерживают протокол OCSP.
> Веб-служба регистрации сертификатов (может и это нужно?)
эту службу (вместе со службой политик сертификатов) целесообразно устанавливать если у вас есть клиенты Windows 7 и выше. ОС pre-Vista не поддерживают CEP/CES.
> Сперва вам нужно создать сертификат корневого центра сертификации
ответ неверный. Корневой сертификат создаётся во время установки компонента Certification Authority.
> Нужно зайти в веб-интерфейс центра сертификации
не нужно. Вам достаточно было открыть оснастку certsrv.msc, нажать правой кнопкой на сервере CA и выбрать all task -> Submit new request и указать на ваш файл запроса.
> Вот по этому пути C:\Windows\system32\CertSrv\ru-RU файлы этого сайта есть?
эти файлы не появятся пока не будет установлен компонент Enrollment web pages (Certification Authority Web Enrollment). ТС не устанавливал этот компонент, поэтому там файлов не будет.
> Запустил установку всех шести ролей.
вам по сути кроме роли CA ничего не надо было устанавливать.
> В этом окошке написано, что шаблоны не найдены.
а это потому что Web Enrollment требует наличия HTTPS, которого у вас скорее всего нету.
> Когда заходишь доменным компом и юзвером на owa все равно ругается на сертификат
как именно ругается? Можете привести ошибки? Заодно скажите, на какое имя выдан сертификат и по какому адресу вы подключаетесь к OWA?> Попробуйте импортировать его через доменные политики и утилиту certutil. Посмотрите похожую тему:
> http://social.technet.microsoft.com/Forums/en/winserverGP/thread/be3d3a0c-ac30-4078-8078-13fd03278b70неверно.
> certutil.exe -addstore StoreName mycertificate.cer
и это неверно, потому что надо использовать утилиту certreq.exe с параметром accept или сделать так:
открыть оснастку Certificates с фокусом на Local computer. Зайти в папку Certificate Enrollment Requests и туда импортировать полученный .cer файл. После чего оба файла скомбинируются в один и полученный сертификат мышкой перетащить в Personal.
> В хранилище компьютера "доверенные корневые" сертификат Вашего корневого УЦ отсутствует.
для доменных клиентов вы можете сделать так:
certutil -dspublish -f path\RootCAcert.cer RootCA
certutil -dspublish -f path\RootCAcert.cer NTAuthCA
или распространить сертификат посредством групповых политик:
http://technet.microsoft.com/en-us/library/cc770315(WS.10).aspx
корневой сертификат добавлять только в Trusted Root Certification Authorities.
> Что делать с компами, которые не в домене, но юзеры с них пользуются outlook anywhere?
тут вам придётся переделывать расширения AIA и CDP и по новой переиздавать все сертификаты. А именно, выкинуть ссылки на LDAP и использовать только HTTP.
http://www.sysadmins.lv -
Здравствуйте!
Почитал топик и у меня есть несколько комментариев.
> Нужно ли устанавливать сетевой ответчик?
Online Respinder целесообразно (но совсем не обязательно) устанавливать, если у вас есть клиенты Windows Vista и выше. Windows XP/2003 не поддерживают протокол OCSP.
> Веб-служба регистрации сертификатов (может и это нужно?)
эту службу (вместе со службой политик сертификатов) целесообразно устанавливать если у вас есть клиенты Windows 7 и выше. ОС pre-Vista не поддерживают CEP/CES.
> Сперва вам нужно создать сертификат корневого центра сертификации
ответ неверный. Корневой сертификат создаётся во время установки компонента Certification Authority.
> Нужно зайти в веб-интерфейс центра сертификации
не нужно. Вам достаточно было открыть оснастку certsrv.msc, нажать правой кнопкой на сервере CA и выбрать all task -> Submit new request и указать на ваш файл запроса.
> Вот по этому пути C:\Windows\system32\CertSrv\ru-RU файлы этого сайта есть?
эти файлы не появятся пока не будет установлен компонент Enrollment web pages (Certification Authority Web Enrollment). ТС не устанавливал этот компонент, поэтому там файлов не будет.
> Запустил установку всех шести ролей.
вам по сути кроме роли CA ничего не надо было устанавливать.
> В этом окошке написано, что шаблоны не найдены.
а это потому что Web Enrollment требует наличия HTTPS, которого у вас скорее всего нету.
> Когда заходишь доменным компом и юзвером на owa все равно ругается на сертификат
как именно ругается? Можете привести ошибки? Заодно скажите, на какое имя выдан сертификат и по какому адресу вы подключаетесь к OWA?> Попробуйте импортировать его через доменные политики и утилиту certutil. Посмотрите похожую тему:
> http://social.technet.microsoft.com/Forums/en/winserverGP/thread/be3d3a0c-ac30-4078-8078-13fd03278b70неверно.
> certutil.exe -addstore StoreName mycertificate.cer
и это неверно, потому что надо использовать утилиту certreq.exe с параметром accept или сделать так:
открыть оснастку Certificates с фокусом на Local computer. Зайти в папку Certificate Enrollment Requests и туда импортировать полученный .cer файл. После чего оба файла скомбинируются в один и полученный сертификат мышкой перетащить в Personal.
> В хранилище компьютера "доверенные корневые" сертификат Вашего корневого УЦ отсутствует.
для доменных клиентов вы можете сделать так:
certutil -dspublish -f path\RootCAcert.cer RootCA
certutil -dspublish -f path\RootCAcert.cer NTAuthCA
или распространить сертификат посредством групповых политик:
http://technet.microsoft.com/en-us/library/cc770315(WS.10).aspx
корневой сертификат добавлять только в Trusted Root Certification Authorities.
> Что делать с компами, которые не в домене, но юзеры с них пользуются outlook anywhere?
тут вам придётся переделывать расширения AIA и CDP и по новой переиздавать все сертификаты. А именно, выкинуть ссылки на LDAP и использовать только HTTP.
http://www.sysadmins.lv
Спасибо за самый большой пост.
У меня все работает, кроме компов, которые вне домена.
Как мне настроить сертификат для компов вне домена?
Можно по подробнее? -
как я вам уже говорил, вам нужно очень много переделать, чтобы обеспечить работу сертификатов вне домена. В частности, предоставить в публичный доступ CRT/CRL файлы по протоколу HTTP. Т.е. выставить в интернет веб-сервер с которого клиенты будут скачивать сертификаты и списки отзыва.
http://www.sysadmins.lv -
-
Кстати, может поможете и тут?
http://social.technet.microsoft.com/Forums/ru-RU/exchange2010ru/thread/a75e3cc8-0a49-4ef4-a7e2-b65b3bddf592 -
Это не проблема.
У меня таких клиентов штук 10-20.
Можно на время дать доступ.
Или нужен постоянный доступ?
Безусловно постоянный доступ. Скажите, у вас есть веб-сервер, который доступен изнутри и снаружи домена?
На счёт Exchange вам уже там подсказали что делать. Но всё равно будут проблемы с сертификатом, потому что клиенты не могут проверить его на отзыв.
http://www.sysadmins.lv -
Это не проблема.
У меня таких клиентов штук 10-20.
Можно на время дать доступ.
Или нужен постоянный доступ?
Безусловно постоянный доступ. Скажите, у вас есть веб-сервер, который доступен изнутри и снаружи домена?
На счёт Exchange вам уже там подсказали что делать. Но всё равно будут проблемы с сертификатом, потому что клиенты не могут проверить его на отзыв.
http://www.sysadmins.lv
Это Exchange. В частности, PWA.
Службы сертификации установлены на отдельной виртуальной машине. -
отлично. Тогда на веб-сервере создайте виртуальную директорию под веб-сайтом, которая указывает на какую-нибудь папку на сервере (по вашему желанию, например, C:\certdata). Настройте разрешение на папку: IUSR_Computername (для pre-2008) или IIS_IUSR (для 2008 и выше) — Allow Read, учётной записи компьютера CA выдайте Allow Write. После чего расшарьте эту папку по сети и в share permissions добавьте право Change для учётной записи компьютера CA.
Далее, на сервере CA выполните следующие команды:
certutil -setreg CA\CACertPublicationURLs "1:file://\\{WebServerName}\CertData\%%1_%%3%%4.crt\n1:%windir%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n2:http://www.domain.com/CertData/%%1_%%3%%4.crt\n1:ldap:///CN=%%7,CN=AIA,CN=Public Key Services,CN=Services,%%6%%11"certutil -setreg CA\CRLPublicationURLs "65:file://\\{WebServerName}\CertData\%%3%%8%%9.crl\n65:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n6:http://www.domain.com/CertData/%%3%%8%%9.crl\n65:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key
Services,CN=Services,%%6%%10"
WebServerFQDN замените на внутреннее имя вашего веб-сервера.
www.domain.com замените на публичное имя вашего веб-сервера.
Данные команды будут автоматически копировать CRT/CRL файлы в расшаренную папку и добавлять HTTP ссылку на скачивание CRT/CRL в издаваемые сертификаты. После выполнения команд перезапустите службу Certificate Services. После перезапуска службы запросите пробный сертификат и убедитесь, что ссылки настроены правильно и из интрнета файлы по этим ссылкам доступны. Если всё будет хорошо, то переиздайте сертификаты для каждого недоменного клиента.
http://www.sysadmins.lv -
-
То есть будет недостаточно импортировать на недоменные машины сертификат корневого Центра сертификации?
не уверен что обсуждение 9 летней давности правильное место для задания нового вопросаThe opinion expressed by me is not an official position of Microsoft