<![CDATA[Форум компьютерной помощи — Центры сертификации]]> http://itpmr.ru/viewtopic.php?id=807 Mon, 28 Oct 2013 09:42:09 +0000 PunBB <![CDATA[Re: Центры сертификации]]> http://itpmr.ru/viewtopic.php?pid=123933#p123933 На данном этапе -
1. если на корневом ЦС недоверять дочернему ЦС, то у юзеров будет предупреждение безопастности.
2. если после недоверия сделать доверие дочернему ЦС, у юзеров остается недоверие дочернему ЦС.
Все сертификаты при этом в норме.

]]> Mon, 28 Oct 2013 09:42:09 +0000 http://itpmr.ru/viewtopic.php?pid=123933#p123933 <![CDATA[Re: Центры сертификации]]> http://itpmr.ru/viewtopic.php?pid=123932#p123932 При попытке запуска ЦС Server2003

Description:
Certificate Services did not start: Could not load or verify the current CA certificate.  ser2003 A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495).

For more information, see Help and Support Center at go.microsoft.com/fwlink/events.asp.



A certificate in the chain for CA certificate 3 for ser2003 has expired.  A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495).

]]> Fri, 25 Oct 2013 13:23:59 +0000 http://itpmr.ru/viewtopic.php?pid=123932#p123932 <![CDATA[Re: Центры сертификации]]> http://itpmr.ru/viewtopic.php?pid=123929#p123929 Эксперимент 1.
На корневом ЦС Server2008 аннулируем (revoke) сертификат для  дочернего ЦС Server2003.
У папочки revoke нажимаем Publish.
Через веб интерфейс можно экспортировать список аннулированых сертификатов, в списке видны серийные номера анулированных ЦС.


На Server2003 смотрим сертификат от Server2008 - статус сертификата  "ОК"!
пробуем выдать сертификат юзеру - сертификат  ставиться с предупреждением о недоверии!

Эксперимент 2.
На корневом ЦС Server2008 аннулируем (revoke)  сам ЦС Server2003.
На Server2003 смотрим сертификат от Server2008 - статус сертификата  "ОК"!
пробуем выдать сертификат юзеру - сертификат  ставиться.

Обновление сертификата:
Свойства дочернего ЦС -> all tasks -> renew CA Certificate
Корневой ЦС - pending requests - принять запрос - issued - окрыть сертификат - детали - copy to file - имя сертификата.

]]> Fri, 25 Oct 2013 07:23:26 +0000 http://itpmr.ru/viewtopic.php?pid=123929#p123929 <![CDATA[Re: Центры сертификации]]> http://itpmr.ru/viewtopic.php?pid=123927#p123927 Server 2003 - работает так же в штатном режиме.
Можно сохранять закрытый ключ.
Пробуем как дочерний/подчиненный.
Если резолвятся имена машин, то всё ок.

]]> Mon, 21 Oct 2013 17:06:30 +0000 http://itpmr.ru/viewtopic.php?pid=123927#p123927 <![CDATA[Центры сертификации]]> http://itpmr.ru/viewtopic.php?pid=123923#p123923 Server 2008 центр сертификации - установка:
technet.microsoft.com/ru-ru/library/cc731183.aspx

Вход
localhost/certsrv/default.asp

Пробуем как корневой.

Можно экспортировать закрытый ключ в pfx. Одинаковые действия как в 2008 так и в 2003 сервере.

Переходим в advanced (продвинутый) запрос на получение сертификата.
Включаем strong private key protection.

После импорта в браузере и.эксплрер выбираем content/certificates/export

просмотр хранилища сертификатов:
msdn.microsoft.com/ru-ru/library/ms788967.aspx
Yes, export the private key.
PKCS #12  .PFX
ставим пароль на хранилище  PFX.

]]> Fri, 18 Oct 2013 10:49:27 +0000 http://itpmr.ru/viewtopic.php?pid=123923#p123923