November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

Дорогие граждане!

dil: (Default)
[personal profile] dil
Friday, March 5th, 2010 11:00 pm

Сами мы не местные, поможите, кто чем может..

Вот если есть сертификат в PEM, подписанный честным CA, и отдельный от него приватный ключ, то каков кошерный Microsoft One Way приделать их к IIS 6?

В локальное хранилище сертификат замечательно импортируется, но без ключа. IIS, соответственно, его видит, но пользоваться им не может.

Рекомендация из MSDN — запустить certutil -repairstore my “SerialNumber“, после чего ключ волшебным образом найдётся и проассоциируется с сертификатом — попахивает мистикой относится, вероятно, к случаю, когда CSR генерировался на этой же машине. А если нет?

Нет, мы, конечно, с помощью openssl и такой-то матери засунули сертификат с ключом в один файл pkcs12 и повторили процедуру импорта, после чего IIS увидел сертификат вместе с ключом, но мне что-то не кажется, что это и есть рекомендуемый майкрософтом способ..

Оригинал этой записи. Комментировать можно тут или там.

Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме

Tags:
Flat | Top-Level Comments Only

[identity profile] dmarck.livejournal.com
Saturday, March 6th, 2010 09:39 am (UTC)
А если нет -- то, видимо, не поддерживается вовсе.

Хорошо хоть openssl есть ;)

[identity profile] dil.livejournal.com
Saturday, March 6th, 2010 09:58 am (UTC)
не, не может такого быть. как-то же оно должно делаться.

а openssl не там, он на соседнем линуксе :)

[identity profile] dmarck.livejournal.com
Saturday, March 6th, 2010 10:03 am (UTC)
Ну, OpenSSL/win32 никто не отменял, положим.

И почему "не может быть"? Это CA машина должна быть изолирована, а CSR как раз (почему-то, но этот вопрос отдельны) подразумевается что генерится там, где будет работать сертификат.

[identity profile] dmarck.livejournal.com
Saturday, March 6th, 2010 09:39 am (UTC)
Вот ещё такое (http://www.mail-archive.com/openssl-users@openssl.org/msg29408.html) находится...

[identity profile] dil.livejournal.com
Saturday, March 6th, 2010 10:00 am (UTC)
а это вообще не про то, там у товарища проблема с экспортом цепочки сертификатво из хранилища в единый файл

[identity profile] alz421.livejournal.com
Saturday, March 6th, 2010 10:02 am (UTC)
Я в свое время точно так же с openssl наперевес с IIS бился. Победил, тоже через pkcs12.
А MS рекомендует ходить строем генерить CSR строго на этой же машине.

[identity profile] dil.livejournal.com
Saturday, March 6th, 2010 10:05 am (UTC)
а где оно это рекомендует?

[identity profile] alz421.livejournal.com
Saturday, March 6th, 2010 01:43 pm (UTC)
Где-то находил... 4 года назад дело было :)
Flat | Top-Level Comments Only