PKI - прикручивание *.cer к IIS.
IIS позволяет вставить анальный цифровой сертификат следующиими методами:
* Запросить сертификат у центра сертификации
* Подготовить запрос к центру сертификации на получение сертификата (и потом "поднять" результат в формате cer).
* Использовать уже существующие сертификаты компьютера
* Экспортировать из *.pfx (и ещё какого-то дурного формата)
IIS НЕ позволяет назначить незапрошенный ранее *.cer сертификат, даже если он есть под руками. При этом exchange 2007 поставляется с самоподписанным сертификатом (в смысле, что сервер удостоверяет, что он тот сервер, который удостоверяет, что он тот сервер, который удостоверяет....). Самоподписанный сертификат - Г. Без палочки. Рекурсивное.
Сертификат подписанный своим CA в каком-то смысле не лучше, однако, а) его не подделать (т.е. суть задачи SSL), б) один CA'шный сертификат, внедрённый в моск пользователям, позволяет работать с любым количеством выписанных с него сертификатов без лишних вопросов (и паранодиальных взбрыков IE7/ActiveSync/RPC over https).
Дано: с прошлой попытки у нас остался cer-файл с ответом за запрос предыдущей инсталляции сервера о сертификате. Т.е. "предыдущий сертификат".
Задача: прикрутить его назад. Выше мы описали, что это нельзя через стандартные анальные отверстия сервера.
Описание нестандартной анальной инсталляции сертификата:
* Запустить mmc, добавить оснастку certificates, указать, сертификаты локальных компьютеров. В папке personal в контекстом меню выбрать import, импортировать. При импорте сказать "в указанную папку". Перезапустить IIS, оснастку управления IIS. Не получится - ребутнуться.
Теперь можно сказать IIS 'Assign existed certificate'. Съедает, работает.
upd:
насчёт "работает" я погорячился.
The SSL server credential's certificate does not have a private key information property attached to it. This most often occurs when a certificate is backed up incorrectly and then later restored. This message can also indicate a certificate enrollment failure.
буду допиливать.
UPD2:
Я чего-то совсем не понимаю процесса выписывания. все и всё говорят, что в этом cer'е нет private key. Однако он там был, когда я его экспортил в прерыдущую установку после запроса.
Пока есть одна гипотеза: private key может прочитать только тот, кто сгенерил request, остальным шиш.
* Запросить сертификат у центра сертификации
* Подготовить запрос к центру сертификации на получение сертификата (и потом "поднять" результат в формате cer).
* Использовать уже существующие сертификаты компьютера
* Экспортировать из *.pfx (и ещё какого-то дурного формата)
IIS НЕ позволяет назначить незапрошенный ранее *.cer сертификат, даже если он есть под руками. При этом exchange 2007 поставляется с самоподписанным сертификатом (в смысле, что сервер удостоверяет, что он тот сервер, который удостоверяет, что он тот сервер, который удостоверяет....). Самоподписанный сертификат - Г. Без палочки. Рекурсивное.
Сертификат подписанный своим CA в каком-то смысле не лучше, однако, а) его не подделать (т.е. суть задачи SSL), б) один CA'шный сертификат, внедрённый в моск пользователям, позволяет работать с любым количеством выписанных с него сертификатов без лишних вопросов (и паранодиальных взбрыков IE7/ActiveSync/RPC over https).
Дано: с прошлой попытки у нас остался cer-файл с ответом за запрос предыдущей инсталляции сервера о сертификате. Т.е. "предыдущий сертификат".
Задача: прикрутить его назад. Выше мы описали, что это нельзя через стандартные анальные отверстия сервера.
Описание нестандартной анальной инсталляции сертификата:
* Запустить mmc, добавить оснастку certificates, указать, сертификаты локальных компьютеров. В папке personal в контекстом меню выбрать import, импортировать. При импорте сказать "в указанную папку". Перезапустить IIS, оснастку управления IIS. Не получится - ребутнуться.
Теперь можно сказать IIS 'Assign existed certificate'. Съедает, работает.
upd:
насчёт "работает" я погорячился.
The SSL server credential's certificate does not have a private key information property attached to it. This most often occurs when a certificate is backed up incorrectly and then later restored. This message can also indicate a certificate enrollment failure.
буду допиливать.
UPD2:
Я чего-то совсем не понимаю процесса выписывания. все и всё говорят, что в этом cer'е нет private key. Однако он там был, когда я его экспортил в прерыдущую установку после запроса.
Пока есть одна гипотеза: private key может прочитать только тот, кто сгенерил request, остальным шиш.