Категорически всех приветствую! Подскажите ,как получить сертификат X.509, выпущенный удостоверяющим центром и сохраненный в AD ? Доступ к сертификату необходимо осуществлять по Windows-аутентификации - все пользователи зарегистрированы в AD. В настоящий момент я нашел примеры с описанием методов запроса сертификата и получения его от удостоверяющего центра (http://msdn.microsoft.com/en-us/library/ms867026.aspx). Но не могу понять, как удостоверяющий центр хранит сертификаты в AD . Поиск в дереве AD LDAP браузером ничего не дал . Подобный функционал реализован в оснастке Windows certmgr.msc .
В продолжении темы - удалось получить информацию о собственных сертификатах, опубликованных в Active Directory. Непонятно, можно ли как-то опубликовать в AD сертификаты с открытым ключом других пользователей. То есть, в соответствии с PKI, чтобы Боб мог запросить удостоверяющий центр открытый ключ Элис, и получить его в составе сертификата. В рекомендованной в предыдущем ответе ссылке упоминается некий виртуальный сервер , через который можно получить сертификат другого пользователя, но без подробностей. Вопрос в том, есть ли в стандартном Windows Server и службах Active Directory такая возможность? В принципе, я бы и сам мог организовать хранение открытых ключей , например, в базе данных, но при этом теряется важное достоинство сертификата - открытый ключ подписывается корневым удостоверяющим центром и эту подпись можно проверить.
Григорий T, лично я никак не пойму к чему ты клонишь, вот это тебе нужно или это? или ты их ломать собираешься в любом случае объем информации большой для форума, пиши конкретно что у тебя в голове, тогда и помогут
Ничего ломать я не собираюсь, я занимаюсь защитой информации , только к сожалению, это не совсем мой профиль. Поэтому , видимо, и вопросы формулирую неточно, за что прошу меня извинить. Задача простая - есть две сотни пользователей, каждый из которых порождает документы, которые сохраняются в базе данных. Требуется предоставить пользователям возможность ставить ЭЦП на документ, и чтобы любой другой пользователь мог этот ЭЦП проверить. Требуется реализовать данный процесс через удостоверяющий центр. Перед началом работы пользователь через Web-интерфейс запрашивает УЦ о выдаче сертификата. При этом генерируется пара открытый/закрытый ключ и сохраняется в заданном именованном ключевом контейнере. А на сервере подтверждается или отвергается заявка на сертификат. В случае подтверждения сертификат подписывается ЭЦП корневого УЦ и публикуется в active directory. Теперь я могу обеспечить пользователю возможность подписать свой документ и проверить подпись. Для того, чтобы ДРУГОЙ пользователь смог проверить ЭЦП, нужно ему как-то передать сертификат с открытым ключом. Требование передачи именно сертификата с открытым ключом, а не просто открытого ключа диктуется возможностью подмены открытого ключа в процессе передачи. К сожалению, я пока не смог найти штатного способа тиражирования открытых ключей среди пользователей в Active Directory. Известный мне вариант заключается в экспорте сертификата на рабочей станции владельца ключа и импорте на рабочей станции того пользователя, который будет проверять ЭЦП. Но, учитывая кол-во пользователей, такой вариант выглядит не слишком привлекательным. Собственно, в этом и заключается вопрос - как сделать видимыми сертификаты с открытыми ключами всем пользователям AD ?
Григорий T, извини не видил твоего поста... Я бы это сделал так: поставил Enterprise Root CA на домейн контроллере, IPSec трафик в домейне c авторизацией через сертификаты. Это отличается от того, что ты пытаешься сделать, но достигает той же цели.