|
|
|
подписать сертификат
|
|||
|---|---|---|---|
|
#18+
Как в Win2003 с установленным CA, подписать(удостоверить) сертификат Web сервера (Apache), имеется ввиду сертификат сервера и клиентов для SSL соединений ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.06.2007, 22:13:56 |
|
||
|
подписать сертификат
|
|||
|---|---|---|---|
|
#18+
Попробуй просто выпустить новый сертификат и импортировать его на сервере. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.06.2007, 12:42:21 |
|
||
|
подписать сертификат
|
|||
|---|---|---|---|
|
#18+
MZHПопробуй просто выпустить новый сертификат и импортировать его на сервере. Дело в том, что для Apache создаем сертификат, а вернее запрос на выдачу сертификата с помощью OpenSSL - и получаем файл с расширением *.CSR (это запрос) и с помощью того же OpenSSL можно этот запрос самоподписать, а мне надо не самоподписанный, а подписанный установленным в Win2003 моим CA, который в свою очередь принимает как файлы запроса - файлы с расширением - *.req, *.der, *.cmc, *.txt Совпадает ли содержимое полученного CSR - с одним из требуемых для CA неизвестно. Другой способ это использовать закрытый ключ CA - как его взять в отдельный файл в Win2003 ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.06.2007, 11:11:07 |
|
||
|
подписать сертификат
|
|||
|---|---|---|---|
|
#18+
Судя по всему, .CSR CA не воспринимают и их содержимое несколько отличается от "понимаемых" запросов. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.06.2007, 12:19:28 |
|
||
|
подписать сертификат
|
|||
|---|---|---|---|
|
#18+
MZHСудя по всему, .CSR CA не воспринимают и их содержимое несколько отличается от "понимаемых" запросов. Да это я понял что отличается Потому как СА в запросе требует указание шаблона по которому запрашивается сертификат (в openssl и не спрашивалось при создании), потом я так понимаю он запросит все остальное (криптопровайдера,....) Как же их подружить то ???? Не в курсе как вытащить в отдельный файл закрытый ключ от СА в Win2003 (зайдем так сказать с другого конца) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.06.2007, 12:47:51 |
|
||
|
подписать сертификат
|
|||
|---|---|---|---|
|
#18+
MZH Key Archival and Management in Windows Server 2003 Немного не то (не о том), но спасибо. Вроде немного разобрался - если кому надо смогу подсказать. Теперь осталась проблема чтобы Apache заработал в SSL режиме, а точнее - отказывал бы в доступе тем клиентам сертификат которых отозван (вся СА на базе Win2003 ) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.06.2007, 09:41:46 |
|
||
|
подписать сертификат
|
|||
|---|---|---|---|
|
#18+
Guset MZHПопробуй просто выпустить новый сертификат и импортировать его на сервере. Дело в том, что для Apache создаем сертификат, а вернее запрос на выдачу сертификата с помощью OpenSSL - и получаем файл с расширением *.CSR (это запрос) и с помощью того же OpenSSL можно этот запрос самоподписать, а мне надо не самоподписанный, а подписанный установленным в Win2003 моим CA, который в свою очередь принимает как файлы запроса - файлы с расширением - *.req, *.der, *.cmc, *.txt Совпадает ли содержимое полученного CSR - с одним из требуемых для CA неизвестно. Другой способ это использовать закрытый ключ CA - как его взять в отдельный файл в Win2003 ? а какой смысл создавать сертификат для апача в опенссл если у вас поднят са на в2к3 ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.06.2007, 09:45:23 |
|
||
|
подписать сертификат
|
|||
|---|---|---|---|
|
#18+
Biz©а какой смысл создавать сертификат для апача в опенссл если у вас поднят са на в2к3 ? - А как получить сертификат и закрытый ключ в отдельные файлы из СА для Apache ? (хотя это то наверно решимо) - И на кого должен быть сертификат для web-сервера Apache в СА (от имени какой учетной записи запрошен и на кого выдан) ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.06.2007, 10:26:27 |
|
||
|
подписать сертификат
|
|||
|---|---|---|---|
|
#18+
Guset Biz©а какой смысл создавать сертификат для апача в опенссл если у вас поднят са на в2к3 ? - А как получить сертификат и закрытый ключ в отдельные файлы из СА для Apache ? (хотя это то наверно решимо) - И на кого должен быть сертификат для web-сервера Apache в СА (от имени какой учетной записи запрошен и на кого выдан) ? создаёте сертификат по шаблону "веб сервер" на хостнэйм, по которому вы будете доступаться к данному веб-серверу ... учётка тут не причём, тк это не пользовательский сертификат ... зайдите на http://<хост_где_CA>/certsrv .. там и запрос сделаете и затем сам сертификат по данному запросу ... и сертификат самого СА там же возьмёте ... ну уж коли вы собираетесь делать двустороннюю аутентикацию, то каждый узер через тот же урл создаст свой узерский сертификат и вставит в веб-браузер ... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.06.2007, 11:28:20 |
|
||
|
подписать сертификат
|
|||
|---|---|---|---|
|
#18+
Biz©... ну уж коли вы собираетесь делать двустороннюю аутентикацию, то каждый узер через тот же урл создаст свой узерский сертификат и вставит в веб-браузер ... Это понятно - проблема вот какая Apache имеет ссылки в своем конфиге на сертификаты и ключи (на файлы сертификата и ключа закрытого) т.е. они должны лежать в виде отдельных файлов !!! (и при этом формат не pkcs12, который использует M$) Так же в нем ссылки на сертификат СА. Вот можно ли заставить Apache запрашивать это все по ldap запросу (чтоб не у себя хранить а извлекать инфу из AD по этим ldap запросам) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.06.2007, 15:00:34 |
|
||
|
подписать сертификат
|
|||
|---|---|---|---|
|
#18+
Guset Biz©... ну уж коли вы собираетесь делать двустороннюю аутентикацию, то каждый узер через тот же урл создаст свой узерский сертификат и вставит в веб-браузер ... Это понятно - проблема вот какая Apache имеет ссылки в своем конфиге на сертификаты и ключи (на файлы сертификата и ключа закрытого) т.е. они должны лежать в виде отдельных файлов !!! (и при этом формат не pkcs12, который использует M$) Так же в нем ссылки на сертификат СА. Вот можно ли заставить Apache запрашивать это все по ldap запросу (чтоб не у себя хранить а извлекать инфу из AD по этим ldap запросам) если до понедельника подождёте гляну свои пометки, а то за давностью возможно проблемы апача по пользованию сертификатов от m$ выпали у меня в своп ... :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.06.2007, 21:39:32 |
|
||
|
подписать сертификат
|
|||
|---|---|---|---|
|
#18+
Biz.....проблемы апача по пользованию сертификатов от m$ выпали у меня в своп ... :) Все необходимые сертификаты смог вытащить из СА (все в нужном Base64 формате), кроме разве секретного ключа сервера (Web сервера) - при выполнении запроса на сертификат можно было выполнить сохранение этого ключа на диск в отдельный файл - проделал это, но он не в Base64 формате (который требуется для Apache) кк бы его преобразовать или как теперь можно из СА сохранить закрытый ключ web-сервера в нужном формате ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.06.2007, 22:10:18 |
|
||
|
|
start [/forum/topic.php?fid=26&msg=34596553&tid=1507116]: |
0ms |
get settings: |
9ms |
get forum list: |
15ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
65ms |
get topic data: |
11ms |
get forum data: |
3ms |
get page messages: |
46ms |
get tp. blocked users: |
2ms |
| others: | 227ms |
| total: | 386ms |
| 0 / 0 |
