Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Выдача сертификата для входа в домен с помощью смарт-карты от стороннего ЦС (http://forum.oszone.net/showthread.php?t=98076)

vs2008 14-01-2008 12:50 716383
Выдача сертификата для входа в домен с помощью смарт-карты от стороннего ЦС
 
Здравствуйте!
Есть проблема выдачи сертифката для входа в домен с помощью смарт-карты от стороннего ЦС. Действуем по руководству
http://support.microsoft.com/kb/281245
Установлен stand-alone ЦС. Контроллеру домена сертификат выдали.
Проблема состоит во включении в сертификат смарт-карты следующих полей (как в описании):
Дополнительное имя субъекта = другое имя: Основное имя пользователя= (UPN). Например:
основное имя пользователя = user1@name.com
UPN Другое имя OID: "1.3.6.1.4.1.311.20.2.3"
UPN Другое имя значение: Это должна быть ASN1-кодированная строка UTF8
• Тема = Различающееся имя пользователя. Это поле является обязательным дополнением, но заполнять его необязательно.
Создаем inf файл, командой certreq создаем запрос.
При пендинге запроса командой (на ЦС)
certreq -attrib "SAN:UPN=newyear@child01.test-dc01.local&1.3.6.1.4.1.311.20.2.3="newyear@child01.test-dc01.local" -submit newyear1.req newyear.cer
при просмотре запроса видно,что в артибуттах поле SAN появилось, но когда сертификат выдан, поля "Дополнительное имя участника" отсутствует.
В чем может быть проблема? МОжет как то надо отредактировать шаблон сертификата, выдаваемый ЦС?
Как првильно запросить и выдать сертификат с необходимыми полями?
Спасибо!

Pili 14-01-2008 13:35 716432
Шаблоны сертификата SmartcardUser и SmartcardUser на ЦС уже должны быть, разрешение на выдачу этого шаблона, если ещё не настроено, надо настроить. Политику выдачи сертификатов подчиненный ЦС берет с вышестоящего ЦС
Запрос на сертификат можно формировать из веб интерфейса ЦС (его кстати можно посмотреть на клиенте и на ЦС, сохранить запрос и, с помошью cerutil записать в txt), при этом криптопровайдер должен поддерживать работу со смарткартами (напр. etoken)
Сертификат, в итоге, будет содержать следующие OID (вырезка из своего)
Цитата:
Certificate Extensions: 9
2.5.29.15: Flags = 0, Length = 4
Key Usage
Digital Signature, Key Encipherment (a0)

1.2.840.113549.1.9.15: Flags = 0, Length = 37
SMIME Capabilities
[1]SMIME Capability
Object ID=1.2.840.113549.3.2
Parameters=02 02 00 80
[2]SMIME Capability
Object ID=1.2.840.113549.3.4
Parameters=02 02 00 80
[3]SMIME Capability
Object ID=1.3.14.3.2.7
[4]SMIME Capability
Object ID=1.2.840.113549.3.7

2.5.29.14: Flags = 0, Length = 16
Subject Key Identifier
fe 23 2b f5 2a e3 f8 e0 1b 4c d8 49 84 75 31 92 5f 72 ae 96

1.3.6.1.4.1.311.20.2: Flags = 0, Length = 1c
Certificate Template Name
SmartcardUser

2.5.29.35: Flags = 0, Length = 18
Authority Key Identifier
KeyID=e9 51 78 97 01 58 b2 c7 07 3b 3f 96 67 f7 8c df 76 0a d1 37

2.5.29.31: Flags = 0, Length = f3
CRL Distribution Points
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=ldap:///почикано

1.3.6.1.5.5.7.1.1: Flags = 0, Length = ee
Authority Information Access
[1]Authority Info Access
Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
Alternative Name:
URL=ldap:///
[2]Authority Info Access
Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
Alternative Name:
URL=http://почикано

2.5.29.37: Flags = 0, Length = 22
Enhanced Key Usage
Secure Email (1.3.6.1.5.5.7.3.4)
Client Authentication (1.3.6.1.5.5.7.3.2)
Smart Card Logon (1.3.6.1.4.1.311.20.2.2)

2.5.29.17: Flags = 0, Length = 2e
Subject Alternative Name
Other Name:
Principal Name=почикано
RFC822 Name=почикано

Signature Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.5 sha1RSA
Algorithm Parameters:
05 00

vs2008 14-01-2008 13:45 716441
стандартные шаблоны типа смарткардюзер и смарткардлогон - настраиваются в Enterprise CA, а мы его поставить не можем ( т.к. мы поддомен в лесу, а чтоб поставить ентерпрайз ЦС - нужны права админа леса) , поэтому настраиваем stand-alone, а в нем никакие шаблрны не применимы. Но где то там же есть нстаройки стандартного сертификата, чтоб добавить дополнительные поля - Subject Alternative Name. Вопрос в том, как это делается, где его искать и как правильно добавить в сертификат эти поля.

Pili 14-01-2008 15:32 716553
vs2008, сертификаты, полученные через stand-alone CA, имхо, не смогут исп-ся для винлогона, вам не нужен Enterprise CA, вам нужен подчиненный СА в домене, где будет производится вход по смарткартам, запрос на сертификат от подчинненого ЦС можно сформировать на этапе установки, права на этот ЦС настроить (можно делегировать)


Время: 15:59.

Время: 15:59.
© OSzone.net 2001-