ЧЯДНТ?
Вопрос про IIS и X.509 к уважаемой аудитории.
Внимание на экран:
Задача: аутентифицировать клиента, желающего посмотреть веб-сайт, с помощью сертификата.
Есть три сервера:
DOG.adatum.com - Stand-Alone Certification Authority
EYE.adatum.com - IIS
PAL.adatum.com - Client
Overview, кратко:
0) Корневой сертификат DOG’а и устанавливаем в доверенные на EYE и PAL.
1) Генерируем запрос и выпускаем сертификат сервера для EYE, на DOG’е. Устанавливаем.
3) Генерируем запрос на сертификат для PAL’а и выпускаем его на DOG’е.
4) Создаём простой static веб-сайт на EYE.
5) Создаём пользователя на EYE, который имеет права на просмотр этого сайта.
6) Конфигурируем one-to-one certificate mapping на EYE, где привязываем пользователя к сертификату.
Пытаемся просмотреть наш веб-сайт с PAL’а.
Начало хорошее: веб-север убедительно просит предъявить сертификат.
ОК, предъявляем.
И получаем вместо веб-сайта экологически чистый кукиш с маслом следующго вида:
"HTTP Error 403.13 - Forbidden: Your client certificate was revoked, or the revocation status could not be determined"
Блядь, ну само собой разумеется, что сертификат никто не отзывал.
CDP CRL в CA сконфигурирован верно и проверен: CRL можно скачать без проблем.
Внимание, вопрос: куда копать?
За правильно указанный вектор вознаграждение гарантируется.
PS: За предложение отключить проверку CRL - желаю вам уронить на мизинец левой ноги СХД. С ДИСКАМИ.
_
Внимание на экран:
Задача: аутентифицировать клиента, желающего посмотреть веб-сайт, с помощью сертификата.
Есть три сервера:
DOG.adatum.com - Stand-Alone Certification Authority
EYE.adatum.com - IIS
PAL.adatum.com - Client
Overview, кратко:
0) Корневой сертификат DOG’а и устанавливаем в доверенные на EYE и PAL.
1) Генерируем запрос и выпускаем сертификат сервера для EYE, на DOG’е. Устанавливаем.
3) Генерируем запрос на сертификат для PAL’а и выпускаем его на DOG’е.
4) Создаём простой static веб-сайт на EYE.
5) Создаём пользователя на EYE, который имеет права на просмотр этого сайта.
6) Конфигурируем one-to-one certificate mapping на EYE, где привязываем пользователя к сертификату.
Пытаемся просмотреть наш веб-сайт с PAL’а.
Начало хорошее: веб-север убедительно просит предъявить сертификат.
ОК, предъявляем.
И получаем вместо веб-сайта экологически чистый кукиш с маслом следующго вида:
"HTTP Error 403.13 - Forbidden: Your client certificate was revoked, or the revocation status could not be determined"
Блядь, ну само собой разумеется, что сертификат никто не отзывал.
CDP CRL в CA сконфигурирован верно и проверен: CRL можно скачать без проблем.
Внимание, вопрос: куда копать?
За правильно указанный вектор вознаграждение гарантируется.
PS: За предложение отключить проверку CRL - желаю вам уронить на мизинец левой ноги СХД. С ДИСКАМИ.
_