1. घर
  2. सवाल और जवाब
  3. डिस्कनेक्ट किए गए नेटवर्क से SSL क्लाइंट प्रमाणपत्र कैसे उत्पन्न करें?

डिस्कनेक्ट किए गए नेटवर्क से SSL क्लाइंट प्रमाणपत्र कैसे उत्पन्न करें?

2008-11-06 8 views
5

मेरे पास एक अनूठी स्थिति है जहां मुझे आईई ब्राउज़र और आईआईएस 6 के बीच HTTPS पर क्लाइंट प्रमाणपत्र प्रमाणीकरण को लागू करने की आवश्यकता है। ब्राउज़र और आईआईएस को फ़ायरवॉल से अलग किया जाता है जो केवल ब्राउज़र को एसएसएल पोर्ट पर आईआईएस से कनेक्ट करने की अनुमति देता है।डिस्कनेक्ट किए गए नेटवर्क से SSL क्लाइंट प्रमाणपत्र कैसे उत्पन्न करें?

हमारे पास आईआईएस के समान नेटवर्क पर एक आंतरिक प्रमाणपत्र सर्वर है। मैंने आईआईएस के लिए एक एसएसएल सर्वर प्रमाण उत्पन्न किया है और यह स्थापित है। मैंने आईआईएस को केवल एसएसएल की अनुमति देने के लिए कॉन्फ़िगर किया है, क्लाइंट प्रमाणपत्रों की आवश्यकता है।

यहां सीमा है कि ब्राउज़र मशीन डिस्कनेक्ट नेटवर्क पर है, इसलिए मैं सीए के http://caserver/CertSrv यूआरएल और request a client cert पर सामान्य रूप से नहीं जा सकता।

मुझे लगा कि अगर रूट सीए की सार्वजनिक कुंजी के खिलाफ सीएसआर उत्पन्न कर सकता है, तो मैं क्लाइंट प्रमाण उत्पन्न करने के लिए इसे सीए सर्वर पर कॉपी कर सकता हूं। लेकिन, ऐसा करने के लिए आईई या सर्टिफिकेट एमएमसी में कोई प्रावधान नहीं है। सर्टिफिकेट एमएमसी को सीए से सीधा कनेक्शन की आवश्यकता होती है।

क्या किसी ने इससे पहले हल किया है?

FYI करें, सभी सर्वर संदर्भित रन Windows सर्वर 2003.

अद्यतन: CertReq.exe कमांड लाइन टूल ओर इशारा करते हुए के लिए जोनास Oberschweiber और मार्क सटन को धन्यवाद। इसका उपयोग करके, मैंने एक सीएसआर उत्पन्न किया है, और इसके परिणामस्वरूप एक क्लाइंट प्रमाणपत्र जो सफलतापूर्वक स्थापित करता है। हालांकि, प्रश्न में आईआईएस सर्वर तक पहुंचने पर आईई स्पष्ट रूप से इस क्लाइंट प्रमाण को नहीं भेज रहा है; यह अभी भी 403.7 उत्पन्न करता है "निषिद्ध: एसएसएल क्लाइंट प्रमाणपत्र आवश्यक है।" मुझे संदेह है कि कारण यह है कि क्लाइंट प्रमाण का विषय फ़ील्ड आईई चलाने वाले खाते की उपयोगकर्ता आईडी से मेल नहीं खाता है, इस प्रकार शायद कोई मेल नहीं खाता क्लाइंट प्रमाण भेज रहा है। उपयोगकर्ता का विषय मेल खाता है जो मैं सीएसआर जमा करता था और फ़ायरवॉल के दूसरे छोर पर क्लाइंट प्रमाण उत्पन्न करता था।

क्या विषय फ़ील्ड मायने रखता है? क्या इस प्रमाणपत्र को भेजने के लिए आईई को सक्षम करने के लिए मुझे कुछ और करने की ज़रूरत है?

स्रोत

2008-11-06 spoulson

उत्तर

0

आपको लगता है कि आप पहले से ही कुछ चीजों की कोशिश कर चुके हैं, इसलिए मेरा अनुमान है कि आप पहले से ही इनके बारे में जानते हैं, लेकिन मैं उन्हें पोस्ट करने जा रहा हूं, बस: Certificate Command Line Tools। मुझे यकीन नहीं है, हालांकि, अगर वे वही करते हैं जो आप चाहते हैं।

स्रोत

2008-11-06 21:25:48

0

http://caserver/CertSrv साइट पर जाएं जो आपने तीसरे कंप्यूटर का उपयोग करके उल्लेख किया है जो सीए सर्वर देख सकता है। तीसरा विकल्प चुनें, एक सीए प्रमाणपत्र, प्रमाण पत्र, या सीआरएल डाउनलोड करें। अगले पृष्ठ पर 'सीए प्रमाणपत्र प्रमाणपत्र डाउनलोड करें' चुनें, जो पी 7 बी फ़ाइल डाउनलोड करेगा। फ्लैश ड्राइव (या ईमेल, आदि) का उपयोग करके इसे दूसरे कंप्यूटर पर स्थानांतरित करें जो आपको इसे IE में विश्वसनीय रूट सर्वर में आयात करने की अनुमति देगा। के रूप में

इस प्रकार

http://technet.microsoft.com/en-us/library/cc787796.aspx

स्रोत

2008-11-06 21:32:35 Aaron

+1

मुझे डर है कि यह नहीं है कि मैं क्या के लिए पूछ रहा था हूँ। रूट सीए प्रमाण श्रृंखला पर प्रतिलिपि तुच्छ है। मुझे डिस्कनेक्ट कंप्यूटर के लिए क्लाइंट प्रमाणपत्र उत्पन्न करने की आवश्यकता है। – spoulson

1

अपने ग्राहक पर certreq आदेश का उपयोग करें certreq -नया -f इस filein c: \ certrequest.req

यहाँ है और इस filein

[का उदाहरण संस्करण] हस्ताक्षर = "$ विंडोज एनटी $"

[न्यूआरक्व्यूस्ट]
विषय = "सीएन = डीसी 1.extranet.frbrikam।कॉम "
EncipherOnly = झूठी
निर्यात भी किया जा = झूठी
KeyLength = 1024
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = सच
ProviderName =" माइक्रोसॉफ्ट आरएसए SChannel क्रिप्टोग्राफिक प्रदाता "
ProviderType = 12
requestType = सीएमसी

[RequestAttributes] CertificateTemplate = TLSServer

,210

अपने प्रमाण पत्र टेम्पलेट

के नाम के साथ CertificateTemplate बदलें एक बार जब आप अपने अनुरोध फ़ाइल है कि आप एक usb स्टिक पर प्रमाणपत्र प्राधिकार में ले और हमेशा की तरह वेब नामांकन इंटरफ़ेस का उपयोग अनुरोध फ़ाइल पर कार्रवाई करने की जरूरत है।

आउटपुट प्रमाणपत्र को वापस क्लाइंट पर खोलें और इंस्टॉल करें पर क्लिक करें।

स्रोत

2008-11-07 13:03:58

+0

यह एक सीएसआर उत्पन्न करने के लिए और फिर एक ग्राहक प्रमाण उत्पन्न करने के लिए काम किया। मैं डिस्कनेक्ट किए गए सर्वर पर प्रमाण भी स्थापित कर सकता हूं। लेकिन, आईई इसे उपकरण/विकल्प/प्रमाण/व्यक्तिगत के तहत नहीं पहचानता है, संभवतः क्योंकि उपयोगकर्ता आईडी को प्रमाण जारी किया गया है जो क्लाइंट प्रमाण उत्पन्न करता है, न कि उपयोगकर्ता आईडी जो सीएसआर उत्पन्न करता है। – spoulson

+0

तो, आईआईएस सर्वर तक पहुंचने पर आईई में मुझे 403.7 "क्लाइंट प्रमाणपत्र आवश्यक" मिलता है। – spoulson

0

अद्यतन के लिए सुझाव, बस मामले में - सर्वर में विश्वसनीय प्रमाण सूची क्या है?

विषय डीएन विंडोज उपयोगकर्ता नाम के समान ही नहीं रहा है - हालांकि मैं आईआईएस का अधिक उपयोग नहीं करता हूं। हालांकि, आईआईएस में कहीं भी एक विश्वसनीय प्रमाणपत्र सूची होना सुनिश्चित है। यह त्रुटि मुझे लगता है जैसे सर्वर की विश्वसनीय certs सूची में CA या रूट CA शामिल नहीं है जो क्लाइंट प्रमाणपत्र जारी करता है।

यह विशेष रूप से सच है यदि आप आईआईएस सर्वर पर हिट करते समय IE में प्रमाणपत्र चयन पॉपअप विंडो कभी नहीं प्राप्त करते हैं - भले ही आपके पास अपने आईई प्रमाणपत्र स्टोर में एक प्रमाणपत्र कॉन्फ़िगर किया गया हो। इसका मतलब है कि क्लाइंट ने सर्वर को मारा, सर्वर ने विश्वसनीय कॉर्ट की एक सूची दी और क्लाइंट के पास एक प्रमाणपत्र नहीं था जो सूची में फिट हो। तो एसएसएल सत्र फोरबिडन त्रुटि स्थिति में चला गया।

तो प्रमाणपत्र चयन विंडो पॉप, और आप का चयन किया और प्रमाणपत्र भेजा, वहाँ सर्वर साइड पर अन्य विन्यास भी हो सकती हैं ..

स्रोत

2009-10-12 14:10:21 bethlakshmi

 संबंधित मुद्दे

  • कोई संबंधित समस्या नहीं^_^