Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Продление сертификатов, выданных центром сертификации (ЦС) (http://forum.oszone.net/showthread.php?t=132775)

Vi-P 22-02-2009 15:28 1045619
Продление сертификатов, выданных центром сертификации (ЦС)
 
Развёрнут изолированный ЦС, т.е. не в сети, под Win2003. Основная задача решаемая сертификатами - подключение клиентов по веб-интерфейсу (https) к почтовому серверу. Сертификаты почтовым серверам выдаются по запросам сформированным самими серверами, а для клиентов генерятся непосредственно в ЦС, на основе предоставляемых идент. данных (имя пользователя, название офиса и т.д.) Каждый сертификат имеет свой срок действия. А как продлевать такие сертификаты? Это можно делать заранее или нужно ждать когда срок закончится?

artem_ 23-02-2009 10:18 1046220
На сколько я помню у сертификата есть срок действия и период обновления. Этот самый период обновления задается на четверть мньше срока действия. Ну к примеру срок действия сертификата 100 дней срок обновления 60. Это значит что через 60 дней клиент начнет пытаться обновить свой сертификат - автоматически. Если все правильно настроено, то ваши клиенты должны сами обновлять сертификаты.

Vi-P 23-02-2009 14:50 1046434
Цитата:
Цитата artem_
ваши клиенты должны сами обновлять сертификаты »
А то что ЦС не в сети, т.е. почтовым серверам и клиентам он недоступен, имеет значение? Думаю, сервера точно должны мне что-то сформировать, типа запроса на продление. Или ошибаюсь? Каков всё-таки механизм продления сертификатов клиентов, серверов?

artem_ 23-02-2009 15:18 1046457
Вообще то клиент должен отправлять запрос на обновление сертификата. В вашем случаи, если сервер не подключен к сети, нужно будет руками создать запрос на получение сертификата - во внешний файл, после этого доностить этот файл до цс. И с ЦС подтверждать запрос на этот сертификат. И потом так же обратно.

Но это слишко жестоко - я бы сделал немного по другому все таки бы подключил сервак к сети все равно офлайновый ЦС не умеет автоматически выдавать сертификаты админ должен самостоятельно подтверждать запросы.

Можно еще пойти другим способом - клиент может одновременно работать сразу с 2мя сертификатами. Если вы например выдаете сертификат на 100 дней, по по истичению например 60 дней генерировать клиенту 2й сертификат и отсылать ему, чтобы тот устанавливал новый.

Vi-P 23-02-2009 18:03 1046586
Т.е. продления сертификата как такого нет, получается что просто генерю новый сертификат?

Смена сертификатов только на почтовых серверах проходит незаметно для клиентов или они также должны совершить какие-то телодвижения?

artem_ 23-02-2009 18:21 1046600
Продление сертификатов есть. Только я не уверен можно ли генерировать запрос о продлении во внешний файл. Зпрос нового сертификата и подтверждение от ЦС через внешний файл точно есть. Сам такое делал. К сожалению сейчас не на чем попробовать. Виртуалки все дома остались.

Самого заинтерисовало - сегодня посмотрю завтра отпишусь.

Можете на форумы MS сходить. Интересно что там ответят?

Vi-P 23-02-2009 22:40 1046812
Цитата:
Цитата artem_
Самого заинтерисовало - сегодня посмотрю завтра отпишусь. »
Спасибо, буду ожидать.

artem_ 24-02-2009 10:18 1047159
Vi-P, вчера толком не удалось посмотреть - моя мадам грохнула все мои виртуалки :). Но скорее всего в такой ситуации вам придется прибегнуть к помощи утилиты коммандной строки certreq.

Vi-P 24-02-2009 11:51 1047279
Понял.
Форумчане, а ещё мнения, советы есть?

Oleg Krylov 24-02-2009 22:21 1047852
Цитата:
Цитата artem_
мадам грохнула все мои виртуалки »
Мадам жива? :)

artem_ 25-02-2009 10:31 1048124
Oleg Krylov, спасибо за заботу - жива :)


Время: 22:29.

Время: 22:29.
© OSzone.net 2001-