Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Windows Новый топик    Ответить
 подписать сертификат  [new]
Guset
Guest
Как в Win2003 с установленным CA, подписать(удостоверить) сертификат Web сервера (Apache), имеется ввиду сертификат сервера и клиентов для SSL соединений
10 июн 07, 22:13    [4254585]     Ответить | Цитировать Сообщить модератору
 Re: подписать сертификат  [new]
MZH
Member

Откуда: Moscow
Сообщений: 3883
Попробуй просто выпустить новый сертификат и импортировать его на сервере.
13 июн 07, 12:42    [4261117]     Ответить | Цитировать Сообщить модератору
 Re: подписать сертификат  [new]
Guset
Guest
MZH
Попробуй просто выпустить новый сертификат и импортировать его на сервере.


Дело в том, что для Apache создаем сертификат, а вернее запрос на выдачу сертификата с помощью OpenSSL - и получаем файл с расширением *.CSR (это запрос) и с помощью того же OpenSSL можно этот запрос самоподписать, а мне надо не самоподписанный, а подписанный установленным в Win2003 моим CA, который в свою очередь принимает как файлы запроса - файлы с расширением - *.req, *.der, *.cmc, *.txt

Совпадает ли содержимое полученного CSR - с одним из требуемых для CA неизвестно.


Другой способ это использовать закрытый ключ CA - как его взять в отдельный файл в Win2003 ?
14 июн 07, 11:11    [4265734]     Ответить | Цитировать Сообщить модератору
 Re: подписать сертификат  [new]
MZH
Member

Откуда: Moscow
Сообщений: 3883
Судя по всему, .CSR CA не воспринимают и их содержимое несколько отличается от "понимаемых" запросов.
14 июн 07, 12:19    [4266177]     Ответить | Цитировать Сообщить модератору
 Re: подписать сертификат  [new]
Guset
Guest
MZH
Судя по всему, .CSR CA не воспринимают и их содержимое несколько отличается от "понимаемых" запросов.


Да это я понял что отличается
Потому как СА в запросе требует указание шаблона по которому запрашивается сертификат (в openssl и не спрашивалось при создании), потом я так понимаю он запросит все остальное (криптопровайдера,....)

Как же их подружить то ????

Не в курсе как вытащить в отдельный файл закрытый ключ от СА в Win2003 (зайдем так сказать с другого конца)
14 июн 07, 12:47    [4266386]     Ответить | Цитировать Сообщить модератору
 Re: подписать сертификат  [new]
MZH
Member

Откуда: Moscow
Сообщений: 3883
Key Archival and Management in Windows Server 2003
14 июн 07, 14:17    [4267040]     Ответить | Цитировать Сообщить модератору
 Re: подписать сертификат  [new]
Guset
Guest
MZH
Key Archival and Management in Windows Server 2003


Немного не то (не о том), но спасибо.

Вроде немного разобрался - если кому надо смогу подсказать.

Теперь осталась проблема чтобы Apache заработал в SSL режиме, а точнее - отказывал бы в доступе тем клиентам сертификат которых отозван (вся СА на базе Win2003 )
15 июн 07, 09:41    [4270285]     Ответить | Цитировать Сообщить модератору
 Re: подписать сертификат  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
Guset
MZH
Попробуй просто выпустить новый сертификат и импортировать его на сервере.


Дело в том, что для Apache создаем сертификат, а вернее запрос на выдачу сертификата с помощью OpenSSL - и получаем файл с расширением *.CSR (это запрос) и с помощью того же OpenSSL можно этот запрос самоподписать, а мне надо не самоподписанный, а подписанный установленным в Win2003 моим CA, который в свою очередь принимает как файлы запроса - файлы с расширением - *.req, *.der, *.cmc, *.txt

Совпадает ли содержимое полученного CSR - с одним из требуемых для CA неизвестно.


Другой способ это использовать закрытый ключ CA - как его взять в отдельный файл в Win2003 ?

а какой смысл создавать сертификат для апача в опенссл если у вас поднят са на в2к3 ?
15 июн 07, 09:45    [4270303]     Ответить | Цитировать Сообщить модератору
 Re: подписать сертификат  [new]
Guset
Guest
Biz©
а какой смысл создавать сертификат для апача в опенссл если у вас поднят са на в2к3 ?


- А как получить сертификат и закрытый ключ в отдельные файлы из СА для Apache ?
(хотя это то наверно решимо)

- И на кого должен быть сертификат для web-сервера Apache в СА (от имени какой учетной записи запрошен и на кого выдан) ?
15 июн 07, 10:26    [4270555]     Ответить | Цитировать Сообщить модератору
 Re: подписать сертификат  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
Guset
Biz©
а какой смысл создавать сертификат для апача в опенссл если у вас поднят са на в2к3 ?


- А как получить сертификат и закрытый ключ в отдельные файлы из СА для Apache ?
(хотя это то наверно решимо)

- И на кого должен быть сертификат для web-сервера Apache в СА (от имени какой учетной записи запрошен и на кого выдан) ?

создаёте сертификат по шаблону "веб сервер" на хостнэйм, по которому вы будете доступаться к данному веб-серверу ... учётка тут не причём, тк это не пользовательский сертификат ...
зайдите на http://<хост_где_CA>/certsrv .. там и запрос сделаете и затем сам сертификат по данному запросу ... и сертификат самого СА там же возьмёте ...
ну уж коли вы собираетесь делать двустороннюю аутентикацию, то каждый узер через тот же урл создаст свой узерский сертификат и вставит в веб-браузер ...
15 июн 07, 11:28    [4271059]     Ответить | Цитировать Сообщить модератору
 Re: подписать сертификат  [new]
Guset
Guest
Biz©
...
ну уж коли вы собираетесь делать двустороннюю аутентикацию, то каждый узер через тот же урл создаст свой узерский сертификат и вставит в веб-браузер ...



Это понятно - проблема вот какая Apache имеет ссылки в своем конфиге на сертификаты и ключи
(на файлы сертификата и ключа закрытого) т.е. они должны лежать в виде отдельных файлов !!!
(и при этом формат не pkcs12, который использует M$)

Так же в нем ссылки на сертификат СА.
Вот можно ли заставить Apache запрашивать это все по ldap запросу (чтоб не у себя хранить а извлекать инфу из AD по этим ldap запросам)
15 июн 07, 15:00    [4272905]     Ответить | Цитировать Сообщить модератору
 Re: подписать сертификат  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
Guset
Biz©
...
ну уж коли вы собираетесь делать двустороннюю аутентикацию, то каждый узер через тот же урл создаст свой узерский сертификат и вставит в веб-браузер ...



Это понятно - проблема вот какая Apache имеет ссылки в своем конфиге на сертификаты и ключи
(на файлы сертификата и ключа закрытого) т.е. они должны лежать в виде отдельных файлов !!!
(и при этом формат не pkcs12, который использует M$)

Так же в нем ссылки на сертификат СА.
Вот можно ли заставить Apache запрашивать это все по ldap запросу (чтоб не у себя хранить а извлекать инфу из AD по этим ldap запросам)

если до понедельника подождёте гляну свои пометки, а то за давностью возможно проблемы апача по пользованию сертификатов от m$ выпали у меня в своп ... :)
15 июн 07, 21:39    [4275305]     Ответить | Цитировать Сообщить модератору
 Re: подписать сертификат  [new]
Guset
Guest
Biz
.....проблемы апача по пользованию сертификатов от m$ выпали у меня в своп ... :)


Все необходимые сертификаты смог вытащить из СА (все в нужном Base64 формате), кроме разве секретного ключа сервера (Web сервера) - при выполнении запроса на сертификат можно было выполнить сохранение этого ключа на диск в отдельный файл - проделал это, но он не в Base64 формате (который требуется для Apache)

кк бы его преобразовать или как теперь можно из СА сохранить закрытый ключ web-сервера в нужном формате
15 июн 07, 22:10    [4275363]     Ответить | Цитировать Сообщить модератору
Все форумы / Windows Ответить