dil: (Default)
dil ([personal profile] dil) wrote2010-03-05 11:00 pm
  • Add Memory
  • Share This Entry
Entry tags:

Дорогие граждане!

Сами мы не местные, поможите, кто чем может..

Вот если есть сертификат в PEM, подписанный честным CA, и отдельный от него приватный ключ, то каков кошерный Microsoft One Way приделать их к IIS 6?

В локальное хранилище сертификат замечательно импортируется, но без ключа. IIS, соответственно, его видит, но пользоваться им не может.

Рекомендация из MSDN — запустить certutil -repairstore my “SerialNumber“, после чего ключ волшебным образом найдётся и проассоциируется с сертификатом — попахивает мистикой относится, вероятно, к случаю, когда CSR генерировался на этой же машине. А если нет?

Нет, мы, конечно, с помощью openssl и такой-то матери засунули сертификат с ключом в один файл pkcs12 и повторили процедуру импорта, после чего IIS увидел сертификат вместе с ключом, но мне что-то не кажется, что это и есть рекомендуемый майкрософтом способ..

Оригинал этой записи. Комментировать можно тут или там.

Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме

Flat | Top-Level Comments Only

[identity profile] dmarck.livejournal.com 2010-03-06 09:39 am (UTC)(link)
А если нет -- то, видимо, не поддерживается вовсе.

Хорошо хоть openssl есть ;)

[identity profile] dil.livejournal.com 2010-03-06 09:58 am (UTC)(link)
не, не может такого быть. как-то же оно должно делаться.

а openssl не там, он на соседнем линуксе :)

[identity profile] dmarck.livejournal.com 2010-03-06 10:03 am (UTC)(link)
Ну, OpenSSL/win32 никто не отменял, положим.

И почему "не может быть"? Это CA машина должна быть изолирована, а CSR как раз (почему-то, но этот вопрос отдельны) подразумевается что генерится там, где будет работать сертификат.

[identity profile] dmarck.livejournal.com 2010-03-06 09:39 am (UTC)(link)
Вот ещё такое (http://www.mail-archive.com/openssl-users@openssl.org/msg29408.html) находится...

[identity profile] dil.livejournal.com 2010-03-06 10:00 am (UTC)(link)
а это вообще не про то, там у товарища проблема с экспортом цепочки сертификатво из хранилища в единый файл

[identity profile] alz421.livejournal.com 2010-03-06 10:02 am (UTC)(link)
Я в свое время точно так же с openssl наперевес с IIS бился. Победил, тоже через pkcs12.
А MS рекомендует ходить строем генерить CSR строго на этой же машине.

[identity profile] dil.livejournal.com 2010-03-06 10:05 am (UTC)(link)
а где оно это рекомендует?

[identity profile] alz421.livejournal.com 2010-03-06 01:43 pm (UTC)(link)
Где-то находил... 4 года назад дело было :)
Flat | Top-Level Comments Only