locked
MS CA не могу найти certificate templates RRS feed

  • Вопрос

  • Добрый день,

    Поднял Local CA(Win2003), сервер не в домене. Никак не могу найти certificate templates, если я правильно понимаю они должны быть в оснастке CA, но там их нет. Есть отдельная оснастка certificate templates но при открытии она выдает ошибку в связи с тем что сервер не в домене шаблоны не активны. Может я что-то неправильно понимаю?

    Спасибо за ответ

    16 января 2013 г. 5:56

Ответы

  • Для экспорта закрытых ключей сертификатов совершенно необязательно наличие шаблона (и даже при наличии шаблона - соответствующей настройки в этом шаблоне).

    Возможность экспорта закрытых ключей - это чисто вопрос клиента: ключевая пара генерируется на клиенте, и будет ли закрытый ключ помечен, как неэкспортируемый, решает клиент (служба защищенного хранилища).

    Если при создании запроса сертификата происходит создание новой пары ключей, то будет ли закрытый ключ помечен, как неэкспортируемый, указывается в параметрах создаваемого запроса: если запрос создается на базе .inf-файла командой certreq - ключом Exportable со значением True/False в секции [NewRequest] (см. например http://technet.microsoft.com/en-us/library/cc736326(WS.10).aspx ). Про запрос сертификата через веб-интерфейс - сейчас не скажу, у меня нет под руками изолированного центра сертификации, чтобы посмотреть.


    Слава России!

    • Помечено в качестве ответа Tualantin 18 января 2013 г. 6:12
    • Снята пометка об ответе Tualantin 18 января 2013 г. 6:13
    • Помечено в качестве ответа Tualantin 18 января 2013 г. 6:13
    17 января 2013 г. 17:12

Все ответы

  • CA вне домена может быть только типа Standalone (но не Entreprise). В этом варианте шаблоны сертификатов не используются (что логично - шаблоны хранятся в AD).


    Слава России!

    • Предложено в качестве ответа osr_MVP, Moderator 16 января 2013 г. 8:26
    • Отменено предложение в качестве ответа Tualantin 16 января 2013 г. 10:12
    16 января 2013 г. 8:05
  • Да CA именно standalone, дело в том что мне необходимо чтоб была возможность экспортировать сертификат в формате pfx, а для этого если я правильно всё понимаю необходимо изменить настройку текущего шаблона сертификата либо создать новый шаблон с такой настройкой. Выходит, что при использовании standalone CA это невозможно?

    16 января 2013 г. 8:28
  • Для экспорта закрытых ключей сертификатов совершенно необязательно наличие шаблона (и даже при наличии шаблона - соответствующей настройки в этом шаблоне).

    Возможность экспорта закрытых ключей - это чисто вопрос клиента: ключевая пара генерируется на клиенте, и будет ли закрытый ключ помечен, как неэкспортируемый, решает клиент (служба защищенного хранилища).

    Если при создании запроса сертификата происходит создание новой пары ключей, то будет ли закрытый ключ помечен, как неэкспортируемый, указывается в параметрах создаваемого запроса: если запрос создается на базе .inf-файла командой certreq - ключом Exportable со значением True/False в секции [NewRequest] (см. например http://technet.microsoft.com/en-us/library/cc736326(WS.10).aspx ). Про запрос сертификата через веб-интерфейс - сейчас не скажу, у меня нет под руками изолированного центра сертификации, чтобы посмотреть.


    Слава России!

    • Помечено в качестве ответа Tualantin 18 января 2013 г. 6:12
    • Снята пометка об ответе Tualantin 18 января 2013 г. 6:13
    • Помечено в качестве ответа Tualantin 18 января 2013 г. 6:13
    17 января 2013 г. 17:12