| ||||
| ||||
| Здравствуйте. Я не программист. есть ли готовые программы для установки в хранилище личного и корневого сертификатов из командной строки? заранее благодарен | ||||
| Ответы: | ||||
| ||||
| Например, cryptcp: См. документацию на странице http://www.cryptopro.ru/CryptoPro/products/cryptcp/default.htm Кроме того, там же дистрибутив и временная (на 30 дней) лицензия для тестирования. | ||||
| ||||
| да, штука хорошая, только платная. по-моему, мы закупали только лицензии на криптопро. а нет ли чего по проще? | ||||
| ||||
| Можно тогда чуть подробнее: запрос на сертификат предполагается делать на той же машине (и под тем же аккаунтом пользователя), где будет нужно устанавливать сертификат? | ||||
| ||||
| не факт, что запрос на сертификат предполагается делать именно на той же машине (и под тем же аккаунтом пользователя), где будет нужно устанавливать сертификат. просто хочу сделать, чтобы любому юзеру при входе в сеть автоматически прописывались все сертификаты юзеров этого домена и актуальный список отзыва из сетевой папки посредством скрипта в групповой политике, т.е. для юзера установка сертификата будет заключаться в копировании его в сетевую папку. | ||||
| ||||
| Если речь о групповой политике, то я делаю вывод, что все компьютеры в одном домене. Тогда, для автоматического решения всех вопросов, можно просто использовать MS Enterprise Certification Authority - все выпускаемые сертификаты будут сразу доступны в AD. | ||||
| ||||
| нет, СА и компьютеры пользователей в разных доменах. | ||||
| ||||
| Разместите сертификаты непосредственно в каталог AD по протоколу LDAP. Сертификаты CA необходимо опубликовать в контейнер Configuration того леса, в котором у вас находятся пользователи, например, с помощью утилиты certutil из состава Support Tools. Совственно, и сертификаты пользователей можно опубликовать в каталог AD с помощью утилиты certutil. | ||||
| ||||
| я установил корневой сертификат, вот результат: =============== ldap:///CN=!0423!043f!043e!043b!043d!043e!043c!043e!0447!0435-57118,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=node-B204,DC=kaznacheystvo,DC=ru?cACertificate Сертификат уже содержится в хранилище DS. ldap:///CN=!0423!043f!043e!043b!043d!043e!043c!043e!0447!0435-57118,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=node-B204,DC=kaznacheystvo,DC=ru?cACertificate Сертификат уже содержится в хранилище DS. CertUtil: -dsPublish - команда успешно выполнена. ============= правильно ли я делаю? что за контейнер Configuration? допустим, сертификат опубликован, как его после этого использовать? у юзера он не появляется | ||||
| ||||
| Про контейнер Configuration вы можете почитать на сайте Microsoft. Сертификаты, опубликованные в контейнерах, которые в указали должны автоматически распространяться всем пользователям AD в локальное хранилище Trusted Root CAs или Subordinate CAs в зависимости от сертификата. Если этого не происходит - проблема в настройке AD. Хотя, судя по вашим постам, вы врядли что-то изменяли после стандартной инсталляции. | ||||
| ||||
| Да, вы правильно делаете. Да, судя по логу утилиты сертификат УЦ уже есть в необходимых контейнерах. Попробуйте перезагрузить АРМ пользователя или воспользоваться у него утилитой gpupdate (если у него WinXP). Сертификаты УЦ лучше просмотреть оснасткой Certificates. | ||||
| ||||
| Антон, вы правы, надо было перегрузиться. спасибо за помощь =) но не могу разобраться с публикацией списка отзыва. в хелпе certutil написано: === CertUtil [Параметры] -dsPublish CRLFile [DSCDPContainer [DSCDPCN]] DSCDPContainer - общее имя контейнера CDP в DS, обычно имя компьютера ЦС DSCDPCN - общее имя объекта CDP в DS, обычно составляемое на основе исключенного краткого имени ЦС и индекса ключа. === как пользоваться этой командой? пробовал и так и сяк. | ||||
| ||||
| Список отзыва должен располагаться в том месте, на которое указывает расширение CRL Disribution Point сертификата. Просто размещение его в каталоге вам не поможет. По работе утилиты certutil поищите материалы на сайте Microsoft, их там достаточно много. | ||||
Евгений Митин