Comments | amarao_san: smart card logon

amarao_san

smart card logon

May 21, 2009 11:26

Во всей этой прелести я пока не понимаю одного: почему сертификат со смарт-карты, подписанный Enterprise CA с шаблоном smartcard logon и заверенный сертификатом пользователя с шаблоном enrollment agent, принимается доменными компьютерами. Почему доменный компьютер верит сертификату, заверенному CA? Кто ему это говорит? (Верить CA) Ведь фича ( Read more... )

администрирование, pki, smart card, windows server

Comments 3

drtengu May 28 2009, 08:15:45 UTC

имхо, любой доменный комп знает в лицо подпись "Enterprise CA".
возможно сертификат со смарт карты заверен и сертификатом пользователя И сертификатом CA.
ps: странно, что сертификатом пользователя можно заверять другие сертификаты ... имхо - юзер это конечная "точка" в дереве сертификации.

amarao_san May 28 2009, 14:12:14 UTC

Я уже разобрался - там просто не срабатывала запись сертификата на смарт-карту из-за кривоватой регистрации CSP.

А на самом деле схема выглядит так:

Есть CA (вовсе не обязательно энтерпрайз). Его RC (корневой сертификат) ставится доверенным для пользователя, который выписывает сертификаты.

Дальше, пользователь, используя какую-то вне-PKI авторизацию (например, Kerberos или банальный basic auth) выписывает себе сертификат с правом передачи запросов от третьих лиц в CA. Для этого есть шаблон сертификатов Enrollment agent. Фактически, этим сертификатом подписывается _ЗАПРОС_ на сертификат. Эта подпись должна для CA доказывать, что запрос предназначается именно тому лицу, которому будет вручена карточка в зубы. Фактически, Enrollment agent с точки зрения PKI - это обычный УЦ (удостоверяющий центр), гарантирующий достоверность информации в запросе.

Дальше этот запрос обрабатывается CA, выписывается сертификат, сертификат записывается на смарт-карту.

Усё.

I love to read your articles ciqaseguli March 8 2011, 00:05:01 UTC

Thank you a lot for giving everyone an exceptionally terrific possiblity to read critical reviews from this web site. It is always very ideal and as well , stuffed with a great time for me personally and my office colleagues to visit your web site no less than thrice per week to read the latest stuff you have. And of course, I am also at all times pleased with the fabulous tips and hints you give. Certain two ideas in this article are certainly the most efficient I've had.