मेरे पास एक अनूठी स्थिति है जहां मुझे आईई ब्राउज़र और आईआईएस 6 के बीच HTTPS पर क्लाइंट प्रमाणपत्र प्रमाणीकरण को लागू करने की आवश्यकता है। ब्राउज़र और आईआईएस को फ़ायरवॉल से अलग किया जाता है जो केवल ब्राउज़र को एसएसएल पोर्ट पर आईआईएस से कनेक्ट करने की अनुमति देता है।डिस्कनेक्ट किए गए नेटवर्क से SSL क्लाइंट प्रमाणपत्र कैसे उत्पन्न करें?
हमारे पास आईआईएस के समान नेटवर्क पर एक आंतरिक प्रमाणपत्र सर्वर है। मैंने आईआईएस के लिए एक एसएसएल सर्वर प्रमाण उत्पन्न किया है और यह स्थापित है। मैंने आईआईएस को केवल एसएसएल की अनुमति देने के लिए कॉन्फ़िगर किया है, क्लाइंट प्रमाणपत्रों की आवश्यकता है।
यहां सीमा है कि ब्राउज़र मशीन डिस्कनेक्ट नेटवर्क पर है, इसलिए मैं सीए के http://caserver/CertSrv यूआरएल और request a client cert पर सामान्य रूप से नहीं जा सकता।
मुझे लगा कि अगर रूट सीए की सार्वजनिक कुंजी के खिलाफ सीएसआर उत्पन्न कर सकता है, तो मैं क्लाइंट प्रमाण उत्पन्न करने के लिए इसे सीए सर्वर पर कॉपी कर सकता हूं। लेकिन, ऐसा करने के लिए आईई या सर्टिफिकेट एमएमसी में कोई प्रावधान नहीं है। सर्टिफिकेट एमएमसी को सीए से सीधा कनेक्शन की आवश्यकता होती है।
क्या किसी ने इससे पहले हल किया है?
FYI करें, सभी सर्वर संदर्भित रन Windows सर्वर 2003.
अद्यतन: CertReq.exe कमांड लाइन टूल ओर इशारा करते हुए के लिए जोनास Oberschweiber और मार्क सटन को धन्यवाद। इसका उपयोग करके, मैंने एक सीएसआर उत्पन्न किया है, और इसके परिणामस्वरूप एक क्लाइंट प्रमाणपत्र जो सफलतापूर्वक स्थापित करता है। हालांकि, प्रश्न में आईआईएस सर्वर तक पहुंचने पर आईई स्पष्ट रूप से इस क्लाइंट प्रमाण को नहीं भेज रहा है; यह अभी भी 403.7 उत्पन्न करता है "निषिद्ध: एसएसएल क्लाइंट प्रमाणपत्र आवश्यक है।" मुझे संदेह है कि कारण यह है कि क्लाइंट प्रमाण का विषय फ़ील्ड आईई चलाने वाले खाते की उपयोगकर्ता आईडी से मेल नहीं खाता है, इस प्रकार शायद कोई मेल नहीं खाता क्लाइंट प्रमाण भेज रहा है। उपयोगकर्ता का विषय मेल खाता है जो मैं सीएसआर जमा करता था और फ़ायरवॉल के दूसरे छोर पर क्लाइंट प्रमाण उत्पन्न करता था।
क्या विषय फ़ील्ड मायने रखता है? क्या इस प्रमाणपत्र को भेजने के लिए आईई को सक्षम करने के लिए मुझे कुछ और करने की ज़रूरत है?
मुझे डर है कि यह नहीं है कि मैं क्या के लिए पूछ रहा था हूँ। रूट सीए प्रमाण श्रृंखला पर प्रतिलिपि तुच्छ है। मुझे डिस्कनेक्ट कंप्यूटर के लिए क्लाइंट प्रमाणपत्र उत्पन्न करने की आवश्यकता है। – spoulson