Здравствуйте!
Помогите пожалуйста разобраться:
Сертификаты выдаются пользователям по запросу(шаблон- user). У этого шаблона прописано, что при выдаче сертификата, сертификат публикуется в active directory. Публикация в active directory позволяет другим пользователям домена иметь доступ к этому сертификату..Вопрос как?.... Где то создается общее хранилище опубликованных сертификатов или что? Как пользователю добраться-то до чужих сертификатов?...подскажите пожалуйста!!!!!

Товарищщщь!
Разберисть, плз, о чем ты говоришь.
"Certificate" содержит два ключа, public and private,
Опубликовать в Активе Директоры - это о паблике, он для того и нужен.
А прайвите остается у тебя на смарткарде на токене или в другом хранилище.
Паблик доступен всем, а прайвите только хозяину. В этом смысл PKI- Public Keys Infrastructure "Структура открытых ключей"

Конечно я понимаю разницу. Мне и нужен публичный ключ, для проверки подписи. Только как мне увидеть эти опубликованные сертификаты из своей учетки пользователя....

У тебя, извиняюсь, полный балагн в голове:))
Ты не провечяешь подпись прямо через хранилище публичных ключей.
Ты , венее, аппликация, делает это в несколько шагов.
1. Известен ли ишуер
2. Не кончилось ли действие предтавленного сертифика
3. (Если включена опция) Не находится ли предьявленный сертификат в статусе "Ревокед" Проверка CRL
Посмотри здесь:
http://www.iso.ru/journal/articles/96.html

У меня не балаган. Я не через какое то приложение подпись проверяю, а через свою прогу. И при проверке подписи из проги нужно обратиться к какому то общему хранилищу сертификатов. Везде написано, что если настроить шаблон на публикацию сертификатов в эктив директори, то любой пользователь будет их видеть. Просьба сказать, как и где их будет видно, а не указывать на мою неграмотность. Мне нужна помощь, а не опускательства.

Blind_Fury
Какой сердитый посетитель:)))
Во-первых тебя никто не "опускал".
Во-вторых, как твоя прога будет проверять и что проверять, ты сам и решаешь.
В-третьих, все-таки нужно немножко почитать материалы по теме (тем более адресс указан) :))
В-четвертых, если уж совсем лень тебе сделать поиск в Гуугле (как минимум) , посмотри на то , что сертификаты- они личные.
То есть у каждого юзера, а, следовательно, искомое тобой должно быть у пользователя.
Иными словами Обьект "User" и его attribute "userCertificate"
Вот его и ищи у каждого обьекта "Пользователь" из твоей Active Directory.

Можно ведь организовать централизованное хранилище, не для этого ли сертификаты публикуются? Если у каждого пользователя хранить все сертификаты на локальном компьютере- это как минимум нерационально. Публичный ключ сертификата- информация не личная. Подпись данных делается на основе закрытого ключа, а проверяется открытым ключом. Не могу же каждому пользователю, особенно, если их в домене 50, импортировать все остальные сертификаты. Тем более если потом добавится пользователь, и получит свой сертификат, этот сертификат придется импортировать 50-ти человекам. Наверняка же есть более элегантное решение....

Когда пользователь обращается куда-то, например к Web on the SSL,
Или делается смарткард логон в домен, или кто-то другой читает документ, подписанный дигитально, то все видят публичный ключ. Обычно, никто не проверят его. Проверяют, или trusted issuer, revocation status.
Я не пойму зачем тебе нужны публичные ключи всех пользователей?
Зачем их иметь на локальном компьютере?
Что конкретно должна делать твоя программа.
Раскрой по-глубже, а то ничего не понятно.

Цифровая подпись. То есть человек своим закрытым ключом сертификата подписывает какой нибудь файл и потом его кидает или на файловый сервер или просто по почте. А другой пользователь должен иметь возможность проверить, верна ли эта подпись,и не пытался ли кто уже изменить документ. Проверка подписи делается на публичном ключе человека, который файл подписал.их не надо собирать на локальном компе. Когда пользователю выдается сертификат, он публикуется в эктив директори(конечно не все, а только цепочка заверителей и публичный ключ). И соответственно, любой, кто знает как посмотреть эти данные, может их посмотреть. В msdn вчера обнаружился код на си, где написано, как сертификат достается из эктив директори, тока пока он у меня не пашет....