none
Friendly name for root CA certificate RRS feed

  • Вопрос

  • Добрый день, всем!
    В данный момент разворачиваю PKI в домене, создал рутовый standalone сервер и создал его сертификат на 20 лет. Никак не могу найти, как задается Friendly name для сертификата при его создании? Скорее всего в CAPolicy.inf надо указывать, но всех возможных параметров этого файла я тоже найти не могу.  Friendly name я хотел бы задать и для сертификата выпускающего сервера.
    Буду благодарен за любую консультацию.

    24 ноября 2009 г. 15:18

Ответы

  • "Friendly Name", также как и "Description", не имеет никакого отношния к содержанию сертификата. Это всего лишь метка в хранилище сертификатов, определяемая локально в каждом хранилище для удобства администратора и не более. Через консоль сертификаты Вы можете ее задать: "<certificate> Properties: Friendly Name".

    24 ноября 2009 г. 15:21
    Отвечающий

Все ответы

  • "Friendly Name", также как и "Description", не имеет никакого отношния к содержанию сертификата. Это всего лишь метка в хранилище сертификатов, определяемая локально в каждом хранилище для удобства администратора и не более. Через консоль сертификаты Вы можете ее задать: "<certificate> Properties: Friendly Name".

    24 ноября 2009 г. 15:21
    Отвечающий
  • Спасибо за ответ! Я хотел бы опубликовать сертификат в AD и чтобы у всех пользователей домена, получивших сертификат моего ROOT CA, была бы эта метка в хранилище. Вопросом этим задался  после просмотра списка сертификатов доверенных рутовых центров сертификации, Friendly name для которых в большинстве случаев указано. Честно говоря, пока не совсем понимаю как это возможно сделать. 

    28 ноября 2009 г. 17:33
  • Ну, если это так необходимо, то можно прибегнуть к помощи "certutil", окучив ей хранилища сертификатов компьютера Ваших пользователей...

    Поготовьте файл: "crtfnassign.inf" следующего содержания:

    [Version]
    Signature = "$Windows NT$"
    [Properties]
    11 = "<fiendly name>"



    Затем, с помощью "certutil" Вы можете проделать следующее:

    certutil -repairstore my "<серийный номер сертификата>" crtfnassign.inf

    Серийный номер сертификата ("serial number") можно посмотреть через MMC, а можно и с помощью "certutil":

    certutil -store my

    Серийный номер указывайте в кавычках, если с пробелами его вводите.

    Справка к certutil: http://technet.microsoft.com/en-us/library/cc732443(WS.10).aspx.


    P.S. Только кириллицу лучше не использовать совместно в вводе для "cerutil" и клиентам, предшествующих NT6, "certutil" придется раздать.
    28 ноября 2009 г. 19:52
    Отвечающий
  • Хм...  Видел это решение, но был уверен, что это частный случай, и что все эти параметры можно определить при развертывании PKI ... и моя въедливость не давала мне покоя :)
    Спасибо Вам! 

    28 ноября 2009 г. 20:34
  • Пожалуйста. :)
    28 ноября 2009 г. 20:45
    Отвечающий