Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Windows Новый топик    Ответить
 Установка клиентского сертификата  [new]
iamjin
Member

Откуда:
Сообщений: 13
Добрый день!

Есть сервер, доступ к которому осуществляется через защищенное соединение. Для доступа на сервер с помощью openssl был создан запрос на сертификат и приватный ключ. На основе запроса на сертификат мне прислали 2 файла с сертификатами: один в pem-файле и второй в файле crt-файле.

Пробовал устанавливать их с помощью оснастки (snap-in) для сертификатов в Windows 7 в группы Personal и Trusted Root Certification Authorities. Также импортировал сертификаты через браузеры IE, FireFox, Chrome. После установки для сертификата из crt-файла отображается certificate status "The issuer of this certificate could not be found.", для другого "This certificate is OK.".

Зайти на страницу сервиса, который находится на сервере мне не удается. В Chrome пишет такое сообщение "Аутентификация на основе сертификата завершилась со сбоем".

Можете подсказать как правильно установить полученный клиентский сертификат, чтобы зайти на нужный мне сервер ? Также должен ли я как-то при установке сертификата указывать приватный ключ, который я генерировал, когда создавал запрос на сертификат ?

Спасибо!
26 июл 13, 20:55    [14624773]     Ответить | Цитировать Сообщить модератору
 Re: Установка клиентского сертификата  [new]
sql2012
Member

Откуда: РФ
Сообщений: 770
iamjin,

"The issuer of this certificate could not be found."
Открыть сертификат, на вкладке Состав найти поле "Доступ к сведениям центра сертификации"
в URL будет указан сертификат ЦС, его необходимо скачать, открыть и установить в доверенные корневые,
если он самоподписанный, если это промежуточный - тогда в промежуточные
+ в нем же найти URL для получения вышестоящего ЦС и повторить действия по установке.

При просмотре сертификата в консоли управления сертификатами (через пуск\выполнить\certmgr.msc)
должна быть строка на вкладке "Общие", что имеется закрытый ключ для этого сертификата.

К сообщению приложен файл. Размер - 52Kb
27 июл 13, 18:49    [14626893]     Ответить | Цитировать Сообщить модератору
 Re: Установка клиентского сертификата  [new]
iamjin
Member

Откуда:
Сообщений: 13
sql2012, добрый день! Спасибо за ответ.

Мне прислали один сертификат с именем ca-root-ca.crt и другой 9294036736.pem. Первый, я так понимаю, является корневым, а второй промежуточный.

После установки для обоих сертификатов отображается следующее "Windows does not have enough information to verify this certificate".

Поле "Доступ к сведениям центра сертификации" - это поле "Issuer" ? Там кроме значения поля Email нет Url, по которому можно было бы перейти на вышестоящий центр сертификации. Похоже проблема в том что установленному корневому сертификату Windows не доверяет, так как не хватает какой-то информации. В интернете много где пишут, что нужно установить все сертификаты из цепочки (все которые вам прислали), но у меня похоже вся цепочка из двух сертификатов: корневого и промежуточного. Не знаете в чём может быть проблема ?

К сообщению приложен файл. Размер - 43Kb
29 июл 13, 17:30    [14633474]     Ответить | Цитировать Сообщить модератору
 Re: Установка клиентского сертификата  [new]
iamjin
Member

Откуда:
Сообщений: 13
Или у меня все же не полная цепочка сертификатов и не хватает сертификата "RSA CA Certificate" ? Так как для моего ca-root-ca.crt сертификата issuer-ом является "RSA CA Certificate", а на вкладке Certification path отображается сообщение "The issuer of this certificate could not be found." ?

К сообщению приложен файл. Размер - 42Kb
29 июл 13, 17:39    [14633530]     Ответить | Цитировать Сообщить модератору
 Re: Установка клиентского сертификата  [new]
sql2012
Member

Откуда: РФ
Сообщений: 770
iamjin,

Для промежуточного нужно скачать корневой сертификат "RSA CA Certificate", на второй вкладке "Details"
найти точки распространения сертификатов (url адрес содержит путь к файлу .cer или .crt).
И промежуточный - должен быть в промежуточных, а не корневых.
29 июл 13, 18:56    [14633926]     Ответить | Цитировать Сообщить модератору
 Re: Установка клиентского сертификата  [new]
Basil A. Sidorov
Member

Откуда:
Сообщений: 10764
iamjin
Мне прислали один сертификат с именем ca-root-ca.crt и другой 9294036736.pem. Первый, я так понимаю, является корневым, а второй промежуточный
.crt - собственно сертификат (открытый ключ), а pem - закрытый ключ (криптоконтейнер) в формате p12.

P.S. Цепочка промежуточных ЦС хранится в неподписываемых атрибутах, поэтому "правильные перцы" не рекомендуют включать её в сертификат.
29 июл 13, 19:52    [14634161]     Ответить | Цитировать Сообщить модератору
 Re: Установка клиентского сертификата  [new]
iamjin
Member

Откуда:
Сообщений: 13
Basil A. Sidorov
P.S. Цепочка промежуточных ЦС хранится в неподписываемых атрибутах, поэтому "правильные перцы" не рекомендуют включать её в сертификат.


Если всю цепочку сертификатов не присылать, то как обойти ошибку "The issuer of this certificate could not be found." ?
29 июл 13, 20:00    [14634178]     Ответить | Цитировать Сообщить модератору
 Re: Установка клиентского сертификата  [new]
Basil A. Sidorov
Member

Откуда:
Сообщений: 10764
iamjin
Если всю цепочку сертификатов не присылать, то как обойти ошибку "The issuer of this certificate could not be found." ?
Есть p7, есть "иные способы указать на места распространения".
29 июл 13, 20:10    [14634205]     Ответить | Цитировать Сообщить модератору
 Re: Установка клиентского сертификата  [new]
iamjin
Member

Откуда:
Сообщений: 13
Получил сертификат RSA CA Certificate и теперь все сертификаты установлены и у всех статус "This certificate is OK.". Но на требуемую страницу всё равно не зайти, в Chrome пишет как и раньше "Аутентификация на основе сертификата завершилась со сбоем".

Еще заметил странную штуку, например в Chrome в "Управление сертификатами" на вкладке "Personal" почемe-то нет сертификата, который я туда импортирую. Хотя в консоли mmc в Personal он есть.

Не должен ли я как-то использовать приватные ключи, которые использовал для генерации запросов на сертификаты ?
29 июл 13, 21:32    [14634415]     Ответить | Цитировать Сообщить модератору
 Re: Установка клиентского сертификата  [new]
sql2012
Member

Откуда: РФ
Сообщений: 770
Basil A. Sidorov
iamjin
Мне прислали один сертификат с именем ca-root-ca.crt и другой 9294036736.pem. Первый, я так понимаю, является корневым, а второй промежуточный
.crt - собственно сертификат (открытый ключ), а pem - закрытый ключ (криптоконтейнер) в формате p12.

P.S. Цепочка промежуточных ЦС хранится в неподписываемых атрибутах, поэтому "правильные перцы" не рекомендуют включать её в сертификат.


Если нет "доверия" к вложенной цепочке, тогда цепочку брать в таком случае - "вручную" - по расширению:
Доступ к сведениям центра сертификации, которое в составе сертификата пользователя и далее повторять от промежуточного до корневого.
29 июл 13, 21:49    [14634469]     Ответить | Цитировать Сообщить модератору
 Re: Установка клиентского сертификата  [new]
Basil A. Sidorov
Member

Откуда:
Сообщений: 10764
iamjin
Еще заметил странную штуку, например в Chrome в "Управление сертификатами" на вкладке "Personal" почемe-то нет сертификата, который я туда импортирую. Хотя в консоли mmc в Personal он есть.
Смешно.
Вы в курсе, что системное хранилище сертификатов использует, в основном, IE?
У всех mozilla-based - собственное хранилище, куда лапками импортируют то, что нужно.
Хромом не пользовался, но было бы странно, если бы кросплатформенные браузеры использовали системное хранилище. Особенно там, где его нет.
30 июл 13, 19:20    [14639401]     Ответить | Цитировать Сообщить модератору
 Re: Установка клиентского сертификата  [new]
sql2012
Member

Откуда: РФ
Сообщений: 770
Chrome:
показывает все сертификаты из системных хранилищ ОС Windows

К сообщению приложен файл. Размер - 70Kb
30 июл 13, 19:43    [14639467]     Ответить | Цитировать Сообщить модератору
 Re: Установка клиентского сертификата  [new]
Basil A. Sidorov
Member

Откуда:
Сообщений: 10764
Да, неправ - хром отображает системное хранилище сертификатов.
30 июл 13, 20:14    [14639540]     Ответить | Цитировать Сообщить модератору
 Re: Установка клиентского сертификата  [new]
Gator
Member

Откуда: Москва
Сообщений: 14980
http://www.sysadmins.lv/PermaLink,guid,65c449a6-98b7-4b64-8def-b77cd93936d3.aspx (2010 г.)
Internet Explorer Mozilla FireFox Opera Google Chrome Apple Safari
Legacy cryptography support Yes, of course! Yes, of course! Yes, of course! Yes, of course! Yes, of course!
CNG Support Yes, of course! Yes, of course! No! Yes, of course! Yes, of course!
OCSP Support Yes, of course! Yes, of course! Yes, of course! Yes, of course! Yes, of course!
Offline revocation detection No! No! No! No! No!
Native Windows/Integrated Authentication Yes, of course! No! No! Yes, of course! No!
Custom Windows/Integrated Authentication implementation Not required Yes, of course! No! Not required No!
Client Certificate Authentication Yes, of course! Yes, of course! No! Yes, of course! Yes, of course!
Windows Certificate Store support Yes, of course! No! No! Yes, of course! Yes, of course!
Custom Certificate Store support Not required Yes, of course! Yes, of course! Not required Not required
Native smart card support Yes, of course! No! No! Yes, of course! Yes, of course!
Custom smart card support Not required Yes, of course! No! Not required Not required
30 июл 13, 20:57    [14639632]     Ответить | Цитировать Сообщить модератору
 Re: Установка клиентского сертификата  [new]
iamjin
Member

Откуда:
Сообщений: 13
Добрый день.

С помощью openssl конвертировал сертификат в формат PKCS12 (.pfx), для этого и понадобился приватный ключ. После этого импорт сертификата в браузеры в хранилище Personal прошёл успешно. На сайт, для которого нужно было установить сертификат зашёл.

Спасибо огромное sql2012, Basil A. Sidorov, Gator за то, что помогли.
31 июл 13, 12:56    [14642324]     Ответить | Цитировать Сообщить модератору
Все форумы / Windows Ответить