Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
Установка клиентского сертификата
|
|||
|---|---|---|---|
|
#18+
Добрый день! Есть сервер, доступ к которому осуществляется через защищенное соединение. Для доступа на сервер с помощью openssl был создан запрос на сертификат и приватный ключ. На основе запроса на сертификат мне прислали 2 файла с сертификатами: один в pem-файле и второй в файле crt-файле. Пробовал устанавливать их с помощью оснастки (snap-in) для сертификатов в Windows 7 в группы Personal и Trusted Root Certification Authorities. Также импортировал сертификаты через браузеры IE, FireFox, Chrome. После установки для сертификата из crt-файла отображается certificate status "The issuer of this certificate could not be found.", для другого "This certificate is OK.". Зайти на страницу сервиса, который находится на сервере мне не удается. В Chrome пишет такое сообщение "Аутентификация на основе сертификата завершилась со сбоем". Можете подсказать как правильно установить полученный клиентский сертификат, чтобы зайти на нужный мне сервер ? Также должен ли я как-то при установке сертификата указывать приватный ключ, который я генерировал, когда создавал запрос на сертификат ? Спасибо! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.07.2013, 20:55 |
|
||
|
Установка клиентского сертификата
|
|||
|---|---|---|---|
|
#18+
iamjin, "The issuer of this certificate could not be found." Открыть сертификат, на вкладке Состав найти поле "Доступ к сведениям центра сертификации" в URL будет указан сертификат ЦС, его необходимо скачать, открыть и установить в доверенные корневые, если он самоподписанный, если это промежуточный - тогда в промежуточные + в нем же найти URL для получения вышестоящего ЦС и повторить действия по установке. При просмотре сертификата в консоли управления сертификатами (через пуск\выполнить\certmgr.msc) должна быть строка на вкладке "Общие", что имеется закрытый ключ для этого сертификата. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.07.2013, 18:49 |
|
||
|
Установка клиентского сертификата
|
|||
|---|---|---|---|
|
#18+
sql2012, добрый день! Спасибо за ответ. Мне прислали один сертификат с именем ca-root-ca.crt и другой 9294036736.pem. Первый, я так понимаю, является корневым, а второй промежуточный. После установки для обоих сертификатов отображается следующее "Windows does not have enough information to verify this certificate". Поле "Доступ к сведениям центра сертификации" - это поле "Issuer" ? Там кроме значения поля Email нет Url, по которому можно было бы перейти на вышестоящий центр сертификации. Похоже проблема в том что установленному корневому сертификату Windows не доверяет, так как не хватает какой-то информации. В интернете много где пишут, что нужно установить все сертификаты из цепочки (все которые вам прислали), но у меня похоже вся цепочка из двух сертификатов: корневого и промежуточного. Не знаете в чём может быть проблема ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.07.2013, 17:30 |
|
||
|
Установка клиентского сертификата
|
|||
|---|---|---|---|
|
#18+
Или у меня все же не полная цепочка сертификатов и не хватает сертификата "RSA CA Certificate" ? Так как для моего ca-root-ca.crt сертификата issuer-ом является "RSA CA Certificate", а на вкладке Certification path отображается сообщение "The issuer of this certificate could not be found." ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.07.2013, 17:39 |
|
||
|
Установка клиентского сертификата
|
|||
|---|---|---|---|
|
#18+
iamjin, Для промежуточного нужно скачать корневой сертификат "RSA CA Certificate", на второй вкладке "Details" найти точки распространения сертификатов (url адрес содержит путь к файлу .cer или .crt). И промежуточный - должен быть в промежуточных, а не корневых. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.07.2013, 18:56 |
|
||
|
Установка клиентского сертификата
|
|||
|---|---|---|---|
|
#18+
iamjinМне прислали один сертификат с именем ca-root-ca.crt и другой 9294036736.pem. Первый, я так понимаю, является корневым, а второй промежуточный.crt - собственно сертификат (открытый ключ), а pem - закрытый ключ (криптоконтейнер) в формате p12. P.S. Цепочка промежуточных ЦС хранится в неподписываемых атрибутах, поэтому "правильные перцы" не рекомендуют включать её в сертификат. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.07.2013, 19:52 |
|
||
|
Установка клиентского сертификата
|
|||
|---|---|---|---|
|
#18+
Basil A. SidorovP.S. Цепочка промежуточных ЦС хранится в неподписываемых атрибутах, поэтому "правильные перцы" не рекомендуют включать её в сертификат. Если всю цепочку сертификатов не присылать, то как обойти ошибку "The issuer of this certificate could not be found." ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.07.2013, 20:00 |
|
||
|
Установка клиентского сертификата
|
|||
|---|---|---|---|
|
#18+
iamjinЕсли всю цепочку сертификатов не присылать, то как обойти ошибку "The issuer of this certificate could not be found." ?Есть p7, есть "иные способы указать на места распространения". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.07.2013, 20:10 |
|
||
|
Установка клиентского сертификата
|
|||
|---|---|---|---|
|
#18+
Получил сертификат RSA CA Certificate и теперь все сертификаты установлены и у всех статус "This certificate is OK.". Но на требуемую страницу всё равно не зайти, в Chrome пишет как и раньше "Аутентификация на основе сертификата завершилась со сбоем". Еще заметил странную штуку, например в Chrome в "Управление сертификатами" на вкладке "Personal" почемe-то нет сертификата, который я туда импортирую. Хотя в консоли mmc в Personal он есть. Не должен ли я как-то использовать приватные ключи, которые использовал для генерации запросов на сертификаты ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.07.2013, 21:32 |
|
||
|
Установка клиентского сертификата
|
|||
|---|---|---|---|
|
#18+
Basil A. SidoroviamjinМне прислали один сертификат с именем ca-root-ca.crt и другой 9294036736.pem. Первый, я так понимаю, является корневым, а второй промежуточный.crt - собственно сертификат (открытый ключ), а pem - закрытый ключ (криптоконтейнер) в формате p12. P.S. Цепочка промежуточных ЦС хранится в неподписываемых атрибутах, поэтому "правильные перцы" не рекомендуют включать её в сертификат. Если нет "доверия" к вложенной цепочке, тогда цепочку брать в таком случае - "вручную" - по расширению: Доступ к сведениям центра сертификации, которое в составе сертификата пользователя и далее повторять от промежуточного до корневого. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.07.2013, 21:49 |
|
||
|
Установка клиентского сертификата
|
|||
|---|---|---|---|
|
#18+
iamjinЕще заметил странную штуку, например в Chrome в "Управление сертификатами" на вкладке "Personal" почемe-то нет сертификата, который я туда импортирую. Хотя в консоли mmc в Personal он есть.Смешно. Вы в курсе, что системное хранилище сертификатов использует, в основном, IE? У всех mozilla-based - собственное хранилище, куда лапками импортируют то, что нужно. Хромом не пользовался, но было бы странно, если бы кросплатформенные браузеры использовали системное хранилище. Особенно там, где его нет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.07.2013, 19:20 |
|
||
|
Установка клиентского сертификата
|
|||
|---|---|---|---|
|
#18+
Chrome: показывает все сертификаты из системных хранилищ ОС Windows ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.07.2013, 19:43 |
|
||
|
Установка клиентского сертификата
|
|||
|---|---|---|---|
|
#18+
Да, неправ - хром отображает системное хранилище сертификатов. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.07.2013, 20:14 |
|
||
|
Установка клиентского сертификата
|
|||
|---|---|---|---|
|
#18+
http://www.sysadmins.lv/PermaLink,guid,65c449a6-98b7-4b64-8def-b77cd93936d3.aspx (2010 г.) Internet Explorer Mozilla FireFox Opera Google Chrome Apple SafariLegacy cryptography support Yes, of course! Yes, of course! Yes, of course! Yes, of course! Yes, of course!CNG Support Yes, of course! Yes, of course! No! Yes, of course! Yes, of course!OCSP Support Yes, of course! Yes, of course! Yes, of course! Yes, of course! Yes, of course!Offline revocation detection No! No! No! No! No!Native Windows/Integrated Authentication Yes, of course! No! No! Yes, of course! No!Custom Windows/Integrated Authentication implementation Not required Yes, of course! No! Not required No!Client Certificate Authentication Yes, of course! Yes, of course! No! Yes, of course! Yes, of course!Windows Certificate Store support Yes, of course! No! No! Yes, of course! Yes, of course!Custom Certificate Store support Not required Yes, of course! Yes, of course! Not required Not requiredNative smart card support Yes, of course! No! No! Yes, of course! Yes, of course!Custom smart card support Not required Yes, of course! No! Not required Not required ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.07.2013, 20:57 |
|
||
|
Установка клиентского сертификата
|
|||
|---|---|---|---|
|
#18+
Добрый день. С помощью openssl конвертировал сертификат в формат PKCS12 (.pfx), для этого и понадобился приватный ключ. После этого импорт сертификата в браузеры в хранилище Personal прошёл успешно. На сайт, для которого нужно было установить сертификат зашёл. Спасибо огромное sql2012, Basil A. Sidorov, Gator за то, что помогли. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.07.2013, 12:56 |
|
||
|
|
start [/forum/topic.php?fid=26&fpage=88&tid=1495394]: |
0ms |
get settings: |
10ms |
get forum list: |
20ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
27ms |
get topic data: |
15ms |
get forum data: |
4ms |
get page messages: |
66ms |
get tp. blocked users: |
2ms |
| others: | 259ms |
| total: | 409ms |
| 0 / 0 |
