none
Что происходит с экспортированным сертификатом при Certificate Renewal? RRS feed

  • Вопрос

  • Сценарий таков.

    На сервере Windows 2003 установлен Enterprise Root CA. Настроен Autoenrollment пользовательских сертификатов. Сертификаты используются для аутентификации мобильных пользователей при подключении к SSTP VPN. Как водится, создан CDP (http://) для внешних пользователей.

    Подавляющее большинство удаленных пользователей работают на служебных ноутбуках, являющихся членами домена AD. Несколько компьютеров (клиентов VPN) не являются членами домена, это личные домашние машины сотрудников. На такие домашние компьютеры юзерский сертификат экспортируется со служебной машины этого же сотрудника (сертификат является экспортируемым). Таким образом один и тот же сертификат В. Пупкина может быть установлен на служебном компьютере сотрудника и на его домашнем компьютере. Смарт-карты и токены не используются.

    Домашние пользователи часто жалуются на отсутствие связи по VPN, мы лечим эту проблему повторным экспортом сертификата со служебной машины сотрудника и импортом на домашнюю. У нас возникли подозрения, что проблема связана с процессом обновления сертификата на служебной машине сотрудника.

    Отсюда вопрос: что происходит с сертификатом пользователя, экспортированным на другую машину, при обновлении сертификата на исходном компьютере? Старый сертификат при этом отзывается, остается валидным или что-то третье?

    Второе: посоветуйте, пожалуйста, нормальный, удобный способ предоставления пользовательских сертификатов для не-доменных удаленных пользователей. То что приходит в голову - формирование запроса с домашней машины, выпуск отдельного сертификата и его импорт - это довольно долгая и сложная для пользователя процедура, хотелось бы чего-нибудь простого, рабочего и безопасного.

     

    UPD. По второму вопросу созрело такое решение: выпуск сертификата администратором (enrollment agent'ом) от имени пользователя и запись его на токен. Затем токен передается сотруднику вместе с инструкцией по установке PKI Client.

    По-идее такой способ исключит возможные проблемы с обновлением сертификата, но все же очень любопытно получить ответ на мой первый вопрос, что же именно происходит с клоном при обновлении исходного сертификата. Откликнитесь, товарищи эксперты.

     


    • Изменено Dmitry Zobnin 11 января 2012 г. 13:35 немножко подумал
    10 января 2012 г. 9:37

Все ответы

  • Не ясна причина и процедура обновления сертификата на рабочем компьютере в связке с личным компьютером, а так же разрешения этому сертификату.

    По первому вопросу - ничего (два различных компьютера имеющих один сертификат), он остаётся на личном компьютере пользователя со статусом, который стал у сертификата рабочего компьютера подтверждаемый актуальным СОС, до повторного экспорта сертификата с рабочего компьютера.

    Повторный экспорт сертификата с рабочего компьютера - замещает старый сертификат на личном компьютере, что не совсем правильно. Правильнее будет удаление старого (если он не использовался для шифрования и подиси) и повторный экспорт сертификата с рабочего компьютера.

    При обновлении сертификата рабочего компьютера, у Вас два варианта: выдача нового сертификата или продление действия существующего сертификата. В зависимости от настроек будут разные действия.

    Правильное решение в Вашем случае будет перевод хранения сертификатов с ключевыми файлами на eToken и выдача eToken пользователям. Максимальный срок действия сертификатов пользователей ограничен одним годом, организовать обновление сертификатов с ключевыми файлами на eToken один раз в год вызывать проблем не должно.

    Дополнительную информацию можно прочитать http://www.sbsi.ru/content/view/57/48/


    Да, я Жук, три пары лапок и фасеточные глаза :))


    14 января 2012 г. 4:37
    Модератор