none
Запрос на сертификат от имени другого пользователя RRS feed

  • Вопрос

  • Есть CA на базе Windows 2003 R2 (standart edition), была Enrollment station под Win XP, с которой выдавались запросы на получение сертификатов для пользователей домена и записывались на смарт-карту пользователя (RuToken). XP умерла, решили не восстанавливать, а установить Vista Business 64-bit (корпоративная лицензия). Возникла проблема - при обращении через WEB на CA за сертификатом - нет возможности запросить сертификат от имени другого пользователя - т.е на соответствующей странице

    Расширенный запрос сертификата

    Политика ЦС определяет типы сертификатов, которые вы можете запрашивать. Выберите нужное действие:

    Создать и выдать запрос к этому ЦС.
    Выдать запрос, используя base-64 шифрованный файл PKCS #10, или выдать запрос обновления, используя base-64 шифрованный файл PKCS #7.

    нужной кнопки просто нет.

    Что нужно сделать, чтобы появилась возможность запроса сертификатов от имени другого пользователя?

    Помогите, если кто-то знает как решить проблему!

    5 марта 2011 г. 5:39

Ответы

  • > но запрошенный сертификат размещается в личном хранилище Агента, а он нужен на смарт-карте

    для этого нужно отредактировать целевой шаблон и в CSP (вкладка Request Handlings) указать CSP вашего поставщика смарт-карт.

    > Кроме того, проблема выгрузки закрытого ключа также имеет место

    а это вам не нужно. Если отредактируете шаблон, как указано выше, сертификат будет автоматически помещаться на смарт-карту.

    > как можно "проявить" кнопку "Запрос сертификата от имени другого пользователя" на веб-странице "Расширенный запрос сертификата" CA Win2003SRV?

    эта функциональность отключена теперь. Да и не нужна она.

     


    http://en-us.sysadmins.lv
    9 марта 2011 г. 5:04

Все ответы

  • На Vista Business запустите certmgr.msc. Выделите контейнер Personal. Нажмите Action, All Tasks, Advanced Operations, Enroll On Behalf Of. Следуйте инструкциям мастера для запроса сертификатов от имени другого пользователя.
    http://en-us.sysadmins.lv
    • Предложено в качестве ответа Vadims PodansMVP 5 марта 2011 г. 11:55
    5 марта 2011 г. 11:55
  • Спасибо, что откликнулись! Этот вариант я пробовал, он работает, но запрошенный сертификат размещается в личном хранилище Агента, а он нужен на смарт-карте. Кроме того, проблема выгрузки закрытого ключа также имеет место, поскольку "Если сертификат был выдан центром сертификации Windows Server 2003, закрытый ключ для этого сертификата является экспортируемым, только если запрос на сертификат был сделан с помощью веб-страницы центра сертификации дополнительных запросов сертификатов с установленным флажком Пометить ключ как экспортируемый" (это цитата из документации по сертификатам).

    Поэтому вопрос остается - как можно "проявить" кнопку "Запрос сертификата от имени другого пользователя" на веб-странице "Расширенный запрос сертификата" CA Win2003SRV? Поскольку это единственный, известный мне, способ не только запросить нужный сертификат, но и занести его вместе с закрытым ключом на защищенный носитель RuToken.  

    9 марта 2011 г. 3:47
  • > но запрошенный сертификат размещается в личном хранилище Агента, а он нужен на смарт-карте

    для этого нужно отредактировать целевой шаблон и в CSP (вкладка Request Handlings) указать CSP вашего поставщика смарт-карт.

    > Кроме того, проблема выгрузки закрытого ключа также имеет место

    а это вам не нужно. Если отредактируете шаблон, как указано выше, сертификат будет автоматически помещаться на смарт-карту.

    > как можно "проявить" кнопку "Запрос сертификата от имени другого пользователя" на веб-странице "Расширенный запрос сертификата" CA Win2003SRV?

    эта функциональность отключена теперь. Да и не нужна она.

     


    http://en-us.sysadmins.lv
    9 марта 2011 г. 5:04
  • Спасибо за рекомендацию, для меня эта информация была полезной, но решить проблему пока не получилось, поскольку отредактировать шаблон я могу, а вот создать новый шаблон в CA на базе отредактированного не получается - в перечне доступных для выбора шаблонов не появляется отредактированный мной шаблон. Если я правильно понял, это ограничение Win2003SRV Standart Edition, а для того, чтобы выдавать сертификаты на базе отредактированного шаблона нужен Win2003Srv Enterprise Edition. Мы собираемся перейти на Win2008R2 Sdt Edition - не подскажите, как в этой версии ПО, есть возможность выдавать сертификаты, используя отредактированные шаблоны? Или нужен обязательно вариант Enterprise?

    10 марта 2011 г. 4:28
  • Редакция Standard предусматривает возможность выпуска сертификатов лишь на основе предустановленных шаблонов сертификатов первой версии (на которые могут быть назначены права доступа, но не изменены параметры шаблона). Для выпускающего удостоверяющего центра в составе инфраструктуры AD (Enterprise CA) желательно использовать удостоверяющий центр под управлением Enterprise-редакции ОС.
    10 марта 2011 г. 5:21
    Отвечающий