1

Тема: Центры сертификации

Server 2008 центр сертификации - установка:
technet.microsoft.com/ru-ru/library/cc731183.aspx

Вход
localhost/certsrv/default.asp

Пробуем как корневой.

Можно экспортировать закрытый ключ в pfx. Одинаковые действия как в 2008 так и в 2003 сервере.

Переходим в advanced (продвинутый) запрос на получение сертификата.
Включаем strong private key protection.

После импорта в браузере и.эксплрер выбираем content/certificates/export

просмотр хранилища сертификатов:
msdn.microsoft.com/ru-ru/library/ms788967.aspx
Yes, export the private key.
PKCS #12  .PFX
ставим пароль на хранилище  PFX.

Поделиться

2

Re: Центры сертификации

Server 2003 - работает так же в штатном режиме.
Можно сохранять закрытый ключ.
Пробуем как дочерний/подчиненный.
Если резолвятся имена машин, то всё ок.

Сайт Boris.Efros

Поделиться

3

Re: Центры сертификации

Эксперимент 1.
На корневом ЦС Server2008 аннулируем (revoke) сертификат для  дочернего ЦС Server2003.
У папочки revoke нажимаем Publish.
Через веб интерфейс можно экспортировать список аннулированых сертификатов, в списке видны серийные номера анулированных ЦС.


На Server2003 смотрим сертификат от Server2008 - статус сертификата  "ОК"!
пробуем выдать сертификат юзеру - сертификат  ставиться с предупреждением о недоверии!

Эксперимент 2.
На корневом ЦС Server2008 аннулируем (revoke)  сам ЦС Server2003.
На Server2003 смотрим сертификат от Server2008 - статус сертификата  "ОК"!
пробуем выдать сертификат юзеру - сертификат  ставиться.

Обновление сертификата:
Свойства дочернего ЦС -> all tasks -> renew CA Certificate
Корневой ЦС - pending requests - принять запрос - issued - окрыть сертификат - детали - copy to file - имя сертификата.

Поделиться

4

Re: Центры сертификации

При попытке запуска ЦС Server2003

Description:
Certificate Services did not start: Could not load or verify the current CA certificate.  ser2003 A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495).

For more information, see Help and Support Center at go.microsoft.com/fwlink/events.asp.



A certificate in the chain for CA certificate 3 for ser2003 has expired.  A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495).

Поделиться

5

Re: Центры сертификации

На данном этапе -
1. если на корневом ЦС недоверять дочернему ЦС, то у юзеров будет предупреждение безопастности.
2. если после недоверия сделать доверие дочернему ЦС, у юзеров остается недоверие дочернему ЦС.
Все сертификаты при этом в норме.

Поделиться