none
Русская Vista Business и "корневые" сертификаты RRS feed

  • Вопрос

  • Добрый день.

    Имеется русская Vista Business. При заходе через IE7 на корпоративный ресурс выдает ошибку сертификата. Выбираю "Установить", указываю - в довереные корневые центры, говорит все ОК, но в центре сертификат не появляется. Соответственно - при очередном заходе на ресурс снова ругается на сертификат. То же самое с почтовиком (Outlook).

    У коллег на английских Vista все проходит/добавляется нормально. Аналогичная проблема вроде как наблюдается в русских ХР...

    Как бороть? Может есть какие-нибудь статьи на эту тему, ткните пожалуйста...

    9 октября 2007 г. 9:07

Ответы

  • В общем, решение проблемы все таки было найдено силами нашего департамента автоматизации!

    Вот описание, может кому еще сгодится:
    При установке сертификата нажимаем кнопку "Обзор" и в появившемся диалоге устанавливаем флажок "показать физические хранилища" (или что-то в этом роде). Потом распахиваем узел "Доверенные корневые центры" и там выбираем пункт "Локальный компьютер". Дальше наживаем кнопки "далее" как обычно, сертификат устанавливается. Перегружаем браузер, почтовик, etc.
    Заходим куда надо, все работает! 
    Аминь.

    Все таки - это проблемы перевода, ибо видать она не находит переведенное название хранилища в реестре или где он там живет.

    23 ноября 2007 г. 5:11

Все ответы

  • Проверьте нет ли уже этого сертификат в других контейнерах (пососедству), и запустите консоль с правами админа.

    9 октября 2007 г. 10:10
  • IE7 не даст таким образом установить сертификат в доверенный корень !

    мы долго возились с этим, решения нашли два:

     

    1. сохранить в файл и затем жмем по нему. В этом случае сертификат дествительно

    устанавливается в доверенный рут, но текущего пользователя только.

     

    2. с помощью утилиты CertMgr ( идет с VisualStudio, нужен только один экзешник)

     

    пример бата для всех пользователей компьютера:

    certmgr -add certnew.cer -s -r localMachine root
    pause

     

    Для текущего соответственно:

    certmgr -add certnew.cer -s -r currentUser root
    pause

     

    Если все правильно выдаст CertMgr Succeeded (пауза нужна чтобы это увидеть)

    Справка на сайте Микрософт ишите на слово CertMgr ( даже есть на русском языке в MSDN).

    Второй способ удобен для массовой установки во всей конторе.

    Проверено во все версиях XP и Vista Бизнес, в том числе х64 .

    Да совсем забыл IE нужно закрыть и снова открыть если на ходу.

    9 октября 2007 г. 17:40
  • Ничего для этих целей грузить не нужно !-)))

     

    1. Запускаем cmd с правами Администратора

    2. Выполняем mmc (можно минуя шаг один его с адм правами запустить)

    3. Добавляем необходимый Snap-in - Certificates

     

    а) My user account - управляем сертификатами для текущего пользователя

    b) Computer account - управляем сертификатами для компьютера (всех пользователей)

     

    4. Далее работаем с Trusted Root CA\Certificates (правый клик All Task\Import)

     

    Все готово.

     

    P.S.

    В русском все по аналогии, проблем быть не должно.

    9 октября 2007 г. 18:13
  • Этот способ дублирует сертификаты если они там были, если были попытки в IE7 пощелкать по бутанам и отправить в другое хранилеще.

    Certmgr просматривает список и удаляет дупликаты иначе вручную по всем хранилещам , а в корне > 200 ( у меня во вяком случае) .

    Бабкам из бух ( и не только ) обьяснять, что такое mmc и как добавить оснастку  и т.д ....

    А так пришел с флэшем один клик и готово.

    Спасибо за дискуссию.

    9 октября 2007 г. 18:36
  • Что бы со флэшками не ходить есть Active Directory и Group Policy, работа с сертификатми там предусмотрена.

     

    Если задача в раздаче "корней" всему домену или ou, то это даже проще, вам в GP + PKI

     

    Всегда рад помочь !-)

     

    P.S.

    По большему счету - "Чем больше способов тем лучше" - Thanks to bext

     

    P.P.S.

    В Microsoft SDK v6 - Утилита certmgr.exe свежее

     

    9 октября 2007 г. 21:28
  • Спасибо всем, за проявленный интерес к теме.

    Перепробовал все приведенные способы, но положительных сдвигов нет.

     

    при выполнении:

    >certmgr -add c:\ms_tools\email.cer -s -r currentUser root

    пишет

    CertMgr Succeeded

     

    но сертификат в корнях так и не появился.

     

    Однако, если попробовать делать тоже самое из GUI, то получаем интересный результат при попытке импорта сертификата, в конце сообщений в консоли выводится:

     

    ...

    Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого
     отсутствует отношение доверия с поставщиком доверия. 0x800b0109 (-2146762487)
    ------------------------------------

     

    Что бы это значило?

    10 октября 2007 г. 11:00
  • можно узнать или увидеть коренной сертификат? он вообще самоподписанный??

    10 октября 2007 г. 11:02
  • Сертификат самоподписанный, но не корневой.
    Обычный самоподписанный для веб-вервера.


    11 октября 2007 г. 8:36
  • а показать возможности нет? я бы на практике проверил, такое ощущение, что он его либо в промежуточные помещает, либо сертификат неправильный, либо прежде чем пытаться его вставить нужно пройтись по хранилищам и его поискать (по всем computer + current user)

    11 октября 2007 г. 8:52
  • Показать, к сожалению, возможности нет.
    В промежуточные помещает легко, только от этого не легче. IE7 все равно ругается, что надо в корневой.

    В других нет - так как Виста у меня новая и там его быть не могло, я прошелся по всем веткам и посмотрел.


    Самое противное, что этот сертификат прекрасно устанавливается в корневой центр у коллег на Английской версии Висты Бизнес и на русской версии Vista Home Premium.

    Таким образом, у меня при заходе на корпоративный ресурс IE7 кричит, что этот сайт с неподтвержденным сертификатом, ну и соответственно - их никак установить. Я сейчас просто это дело игнорирую, ругается и ругается, но хотелось бы разобраться что тут не так. До этого стояла Windows XP Professional Eng, все было без проблем.

    Все последние патчи и апдейты на Висте стоят

    Да, еще. Когда ставишь сертификат в первый раз, выдается предупреждение, мол "<Что-то там про неподтвержденность...>. Точно желаете установить? (Да/Нет). Говоришь "Да", говорит "Импорт выполнен", сертификат не появляется. А потом, если пытаться его еще раз импортировать, то уже ничего не спрашивает, просто говорит "Импорт выполнен".

    Уже всю голову сломал, не знаю, куда уж еще смотреть...

    12 октября 2007 г. 3:55
  • Если машина в домене можно через групповые политики установить (закладка PKI).

    12 октября 2007 г. 5:58
  • Не тратьте зря своё время.

    С само подписными сертивикатами 7 работать все равно не будет, у микрософта безопасность - ограничение,

    даже если получится, это временно потом в обновлениях все равно зарубят.

     

    Сносите IE и ставте полнофункциональную и дееспособную Мозилу, микрософт в этом не конкурент.

    И если вы согласны работать с данным сертивикатом, не надо об этом до идиотизма уговаривать IE, который всеравно вас не поймет - Безопасность знаетели.  

    15 октября 2007 г. 5:13
  • У себя схожую проблемму я решил так:

    При импортировании сертификата я выбирал не предложенное по умолчанию, а сам указывал путь в раздел "Довоеренные корневые центры сертификации - Сертификаты". Только потом надо удалить серитфикат который вы ставили до описанных выше действий.

     

    16 октября 2007 г. 6:04
  • IE7 тут абсолютно не при чем. Так как у коллег на английских версиях той же Висты все "встает" на ура. Так что дело даже и не всамом  сертификате.
    Проблема, я считаю, все таки в том, что у меня версия Висты  русская.
    Вот только не понимаю, как это может влиять на процесс импорта сертификата?

    (Вручную пробовал указывать корневой, все поровну).

    Более того, проблема не решается с использованием альтернативного браузера, так как почтовая программа (MS Outlook) аналогично же ругается на такой же неимпортированный сертификат для почты, а сменить почтовика вообще нереально (стандарт).

    7 ноября 2007 г. 10:25
  • В общем, решение проблемы все таки было найдено силами нашего департамента автоматизации!

    Вот описание, может кому еще сгодится:
    При установке сертификата нажимаем кнопку "Обзор" и в появившемся диалоге устанавливаем флажок "показать физические хранилища" (или что-то в этом роде). Потом распахиваем узел "Доверенные корневые центры" и там выбираем пункт "Локальный компьютер". Дальше наживаем кнопки "далее" как обычно, сертификат устанавливается. Перегружаем браузер, почтовик, etc.
    Заходим куда надо, все работает! 
    Аминь.

    Все таки - это проблемы перевода, ибо видать она не находит переведенное название хранилища в реестре или где он там живет.

    23 ноября 2007 г. 5:11