none
Настройка центра распространения IIS для PKI RRS feed

  • Вопрос

  • Я настраиваю PKI первый раз, действую по этой  и этой инструкции.

    Сейчас PKI нужен для OWA , в будущем возможно и для других целей.

    На виртуальных машинах в тестовой доменной среде поднял:

    Root-CA (центр сертификации standalone), Issuing-CA (центр сертификации Enterprice), Web-CA (Служба регистрации в центре сертификации через Интернет). 

    Сгенерировал на Root-CA .crl И .crt файлы, в их свойствах указано распространение только через http://www.%my.domain%/pki.

    На Web-CA создал виртуальный каталог pki , положил туда .crl И .crt файлы от Root-CA.

    Кроме того, зарегистрировал их с помощью команды certutil -dsPublish -f %file_path%\%filename%.crl(crt)

    Собственно вопросы:

    1. Как публиковать сертификаты и списки отзывов от Issuing-CA (центр сертификации Enterprice) на точке распространения Web-CA (Служба регистрации в центре сертификации через Интернет)?

    2. Нужно ли что-то делать руками (например копировать Issuing-CA.crl (.crt) файлы на веб сервер Web-CA) или с-ма делает это сама?

    3. Нужно ли регистрировать Issuing-CA.crl (.crt) через certutil -dsPublish -f ?

     

    Заранее благодарен за ответы и любую другую информацию по PKI.

    31 июля 2011 г. 13:04

Ответы

Все ответы

  • А зачем создавать свой виртуальный каталог - по умолчанию создается каталог CertEnroll

    вот в него и положите свои списки и сертификаты

    2- самому

    3 - нет

    "Кроме того, зарегистрировал их с помощью команды certutil -dsPublish -f %file_path%\%filename%.crl(crt)" - кроме этой команды нужно выполнить и эту

    certutil –addstore Root name.crl

    2 августа 2011 г. 4:29
  • Так а разве установка роли "Служба регистрации в центре сертификации через Интернет" не автоматизирует процесс публикации списка отзывов и не снимает необходимость копировать вручную файлы на вебсервер?
    2 августа 2011 г. 11:51
  • Так а разве установка роли "Служба регистрации в центре сертификации через Интернет" не автоматизирует процесс публикации списка отзывов и не снимает необходимость копировать вручную файлы на вебсервер?

    crl публикуются туда куда указано в настройках CA, там можно указать в какую папку класть, в том числе и на вебсервер. у меня например веб сервера просто забирают все crt и crl с CA сервера через dfs репликацию.
    4 августа 2011 г. 13:28
  • Решил объеденить  Issuing-CA  и Web-CA, этим исчерпал данный вопрос.

    • Помечено в качестве ответа iNikolay 6 августа 2011 г. 16:33
    6 августа 2011 г. 16:33
  • Как написал Дмитрий, более правильным решением было через dfs отдавать на web crl и crt Чем совмещать роли.
    7 августа 2011 г. 3:10