Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Настройка центра сертификации
 
Задача такая: хочу сделать так, чтобы к расшаренным папкам на сервере могли подключаться только с тех компьютеров, на которых установлен сертификат. Я хочу это сделать через ipsec. Представляю я себе все это примерно так:
1. Устанавливаю центр сертификации на сервер.
2. Создаю нужный мне шаблон сертификата.
3. Настраиваю ему доступ на заявку определенным пользователям.
4. С компов этих пользователей и с сервера делаю заявку на этот сертификат и получаю его.
5. Настраиваю на него ipsec.
Но я не могу понять некоторые вещи, а именно:
1. Как настроить центр сертификации, чтобы он мог выдавать мой шаблон?
2. Как настроить заявки. Я так понял, что надо установить какие-то службы IIS, но их там куча, а какие именно нужны я нигде не нашел.
Помогите, пожалуйста разобраться, или киньте ссылку, где про это можно почитать, потому что из микрософтовской справки я не очень много понял  :D
 
>1. Устанавливаю центр сертификации на сервер.
Так
>2. Создаю нужный мне шаблон сертификата.
Создавать не надо. Достаточно сказать, что бы твой сервер его выдавал. Шаблон уже есть

Цитата

Open the Certificate Authority snap-in, right-click Policy Settings, click New, click  Certificate to Issue, select IPSec , and then click OK.


> 3. Настраиваю ему доступ на заявку определенным пользователям.

Не пользователям, а компьютерам. Лучше создать группу безопасности, включить в неё учетки компов и дать этой группы права на шаблон сертификата IPSec (это в свойствах шаблона сертификата)

>4. С компов этих пользователей и с сервера делаю заявку на этот сертификат и получаю его.

ЛУчше воспользоваться автовыдачей сертификата через групповые политики. Создать политику, которую через Security Filters разрешить применять только той группе безопасности, которым можно получать сертификаты из шаблона. В этой политике прописать автовыдачу сертификатов (ссылка)

>5. Настраиваю на него ipsec.
Тоже можно сделать в той же групповой политике.

Да, кстати, если сервак Windows Server 2003 можно ещё поиграться правами Access this computer from network, где указать учетки компов, ну и пользователей.

Чисто концептуальный рассказ можно посмотреть тут.
 
Цитата
offtopic пишет:
Создавать не надо. Достаточно сказать, что бы твой сервер его выдавал. Шаблон уже есть
А нельзя замутить так, чтобы с помощью кнопки "копировать шаблон" создать свой на основе существующего и, например, увеличить срок действия, а потом пользоваться им?
 
Цитата
offtopic пишет:
ЛУчше воспользоваться автовыдачей сертификата через групповые политики. Создать политику, которую через Security Filters разрешить применять только той группе безопасности, которым можно получать сертификаты из шаблона.
Тут еще такая проблема, что центр сертификации не на контроллере домена. Насколько я понял, надо в доверенные корневые центры сертификации добавить сертификат моего сервака. А это делать простым импортом из файла. Или я что-то путаю?
 
Цитата
BOBKA пишет:
помощью кнопки "копировать шаблон"

Без проблем.

Цитата
BOBKA пишет:
Тут еще такая проблема, что центр сертификации не на контроллере домена.

Без разницы. Для автовыдачи центр сертификации должен быть Enterprise, ну а раз мы обсуждаем шаблоны - то так оно и есть.
По идее, после установки enterprise root на клиенты должен его сертификат спутстится. Посмотри через оснатску mmc - certificates - computer.
Если он там не появился, то можно его распостранить через групповые политики.

Где-то так.
 
Я пока тестирую только на одном компьютере (на своем). Сделал следующее:
1. Открыл на серваке оснастку "сертификаты" на локальный компьютер
2. Во вкладке "личные" нашел сертификат и экспортировал его в файл без закрытого ключа.
3. Через групповые политики добавил сертификат в доверенные для своего компа.
4. Открыл политику "сертификаты" для локального компьютера.
5. Открыл папку "Личные" и запустил задачу "Запросить новый сертификат".
Пишет "Неудача при выполнении запроса сертификата. Сервер RPC недоступен."
Что это значит?
Страницы: 1
Читают тему