Новые сообщения [новые:0]
Дайджест
Горячие темы
Избранное [новые:0]
Форумы
Пользователи
Статистика
Статистика нагрузки
Мод. лог
Поиск
|
|
19.02.2003, 15:14
|
|||
|---|---|---|---|
IIS - сопоставление сертификатов уч.зап., списки доверия CTL |
|||
|
#18+
никак не могу понять в чем проблема. Нужно сделать так чтобы к вебсерверу ( на IIS5 ) могли подключаться только определенный круг пользователей с использованием ssl. 1. уcтановил W2000 SP3 - после чего стало возможным испльзовать ssl 2. Установил микрософтовский центр выдачи сертификатов 3. Выдал сертификат сервера - для IIS a , установил его после чего он стал работать по https. хотелось бы чтобы к нему подключались только определенные пользователи. соответстенно выдаю тем же центром сертификации сертификат клиента пользователю пока стоят флаги Игнорировать или принимать сертификаты клиентов подключение происходит. при попытке установить флаг требовать сертификаты клиентов - ошибка Ошибка HTTP 403.7 - Запрет доступа: требуется сертификат для клиента. на микрософт как всегда пишут всякую муру типа нажмите эникей включение списка доверенных центров сертификации с указанием центра выдавшего сертификат ничего не дает сопоставление учетных записей сертификатам не работает Что ему надо?????? Как это делают ???? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
19.02.2003, 15:47
|
|||
|---|---|---|---|
IIS - сопоставление сертификатов уч.зап., списки доверия CTL |
|||
|
#18+
CA на той же машине, что и IIS ? Должен быть на той, иначе не работает (без AD) - эмпирически выявлено, несмотря на заверения MS. Включение списка доверенных центров в IIS - шаг бесполезный, ибо все равно это не работает. Похоже, это тоже как-то и зачем-то к AD привязали. У клиента в списке сертификатов этот клиентский сертификат показан как валидный? Клиенту установил в trusted root сертификат самого СА? По@#$%вшись 2 года с этим, мы решили отказать в конце концов от клиентских сертификатов. Хотя все и работало, но было много глюков и неприятностей, случавшихся регулярно. И перешли на систему авторизации другими способами, не зависящими от кривой реализации CA и сертификатов. Если клиентов 5, от силы 10, то использовать можно. Но если их переваливает за сотню, жизнь превращается в кошмар. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
19.02.2003, 16:49
|
|||
|---|---|---|---|
IIS - сопоставление сертификатов уч.зап., списки доверия CTL |
|||
|
#18+
У клиента в списке сертификатов этот клиентский сертификат показан как валидный? да, конечно Клиенту установил в trusted root сертификат самого СА? разумеется , первым делом иначе и клиентский не был бы доверенным... клиентов как раз не больше десятка.... может они в 3 сервиспаке напортачили опять чего? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
19.02.2003, 17:04
|
|||
|---|---|---|---|
IIS - сопоставление сертификатов уч.зап., списки доверия CTL |
|||
|
#18+
Идея была такая у органицации есть сеть филиалов. везде локалки с выходом в инет. У некоторых динамические IP есть сервер с финансовой информацией. зайти на него можно из каждого филиала через локальный http <-> https туннель . программе тунеллирования выдать сертификат клиента. ввиду того что сертификат будет лежать на локальном серваке его не сможет каждый спереть и передать третьим лицам или подключаться из другого места. придется видимо обходиться пока авторизацией IIS по паролю и ограничениями по IP ... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
start [/forum/topic.php?fid=26&mobile=1&tid=1517554]: |
0ms |
get settings: |
11ms |
get forum list: |
13ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
30ms |
get topic data: |
13ms |
get forum data: |
3ms |
get page messages: |
49ms |
get tp. blocked users: |
2ms |
| others: | 274ms |
| total: | 403ms |
| 0 / 0 |
