none
Куда же делся закрытый ключ? RRS feed

  • Общие обсуждения

  • Доброго времени суток!

    Имеются службы сертификации, выпущен сертификат Enrollment Agent. При запросе сертификата на другого пользователя домена из стандартной mmc консоли, все отрабатывает великолепно за исключением одного: после выпуска сертификата ЦС, я не могу найти закрытый ключ для этого сертификата. Возможно, кто-нибудь сможет помочь?

    20 апреля 2016 г. 17:53

Все ответы

  • Закрытый ключ обычно (кроме случая, когда настроено архивирование закрытых ключей), в центр сертификации не передаётся. Поэтому ищите его там, где вы создавали ключевую пару и запрос на сертификат. Стандартные провайдеры безопасности Windows сохраняют его в соответствующем хранилище (пользователя или компьютера), а после получения и установки выпущенного сертификата автоматически связывают с установленным сертификатом. Можно ли после этого экспортировать этот ключ вместе  с сертификатом (файл .pfx) - определяется при создании закрытого ключа.


    Слава России!

    20 апреля 2016 г. 22:42
  • Все именно так, как Вы говорите. Я создаю запрос от имени своей учетной записи для учетной записи другого пользователя на определенном компьютере. После выпуска сертификата, я не могу найти закрытый ключ пользователя, для которого выпускал сертификат в моем Личном хранилище (т.е пользователя, который обладает правами enrollment agent). Может быть, местонахождение закрытого ключа другое? Или я что то делаю не так?
    21 апреля 2016 г. 3:37
  • Я вижу два варианта.

    1) Если ситуация позволяет делать закрытый ключ экспортируемым, то вы идете в центр сертификации, копируете нужный вам шаблон, ставите в нем галочку разрешающую экспорт закрытого ключа. После этого идете в центр сертификации своим пользователем и запрашиваете от его имени сертификат для другого пользователя. После этого идете в консоль mmc в свои личные сертификаты, находите там выпущенный сертификат и экспортируете его в pfx файл с экспортом закрытого ключа (понадобится установить пароль, для шифрования закрытого ключа в pfx контейнере)

    2) Если ваша ситуация не позволяет вам делать закрытый ключ экспортируемым, то есть вариант с архивированиеим закрытого ключа на сервере и последующим его восстановлением с с помощью агента восстановления ключей.

    21 апреля 2016 г. 7:49
  • Экспорт закрытого ключа разрешен. Проблема в том, что в личном хранилище я вижу вот такую картину после выпуска сертификата, что говорит о том, что закрытого ключа для него нет. Соответственно, экспортировать в pfx я тоже ничего не могу... 

    Вариант 2 скорей всего сработает, но это приведет к ненужной усложненности схемы работы с сервисом сертификации и этого хотелось бы избежать.

    21 апреля 2016 г. 8:22
  • Выяснил, что эта проблема возникает если в модуле политики центра сертификации выбрать "присвоить запросу состояние ожидания". Если выдачу сертификатов производить автоматически, то проблемы с закрытым ключом не возникает.

    Однако, хотелось бы одобрять сертификаты вручную. 

    Господа, есть идеи куда копать?

    21 апреля 2016 г. 8:53