Egy kicsit a webes beiratkozási oldalakról - pki kiterjesztésekről
Valamit a közelmúltban gyakoribbá vált a Webes beiratkozási oldalak problémáival kapcsolatos kérdések. Ebben a bejegyzésben három pontot fogok megvizsgálni:
- Tanúsítványok kérése a számítógéphez (a tanúsítvány telepítésével a LocalMachine repository-ban);
- Tanúsítványok kérése egy másik felhasználó nevében (Belépés Név szerint);
- Konfigurálja a webes beiratkozási oldalakat, ha különálló kiszolgálón fut a CA-tól.
- csak azokat a sablonokat kérheti, amelyeken az objektumot automatikusan az Active Directory-fiók adatai alapján építették meg, amelynek nevében a kérelmet benyújtották;
- Ha a sablon több CSP-t (kriptográfiai szolgáltatót) is használhat, akkor kiválaszthatja azt, amelyre szüksége van egy adott tanúsítványhoz, vagy hogy tetszik jobban;
- A kulcs hosszának módosítása;
- Engedélyezheti / letilthatja a tanúsítvány exportálásának képességét magánkulccsal (a PKCS # 12-ben);
- Magántulajdonságok erős védelme engedélyezése / tiltása (csak felhasználói tanúsítványok esetén).
Ha a használni kívánt sablont, Tárgy, melyeket fel kell tüntetni a kérelem (amelyet általában nem tartományi ügyfelek vagy más Active Directory erdők ügyfelek), vagy valami mást, akkor meg kellett küzdenie ezzel a kérdéssel más módon. Például használhatja a policy.inf beállítások szövegfájlját a CertReq.exe segédprogrammal vagy a Webes beiratkozási oldalakkal együtt. A webes beiratkozási oldalak a tanúsító hatóság összetevőjének szerves részét képezték. Amikor telepíti webes beiktatási lapjait telepíti az IIS (a valóságban gyakran kell telepíteni előre, így nem kézi beállítás), és másolja a rendszer beállítása ASP fájlokat és ActiveX vezérlő úgynevezett Xenroll. Ez az ActiveX egy "réteg" az ügyfél és a szerver között, és felelős a cookie-kért és még sok másért. Néhány cookie-t tárolnak ezek a cookie-k, például a CA-kiszolgálónak küldött kérés számát, amelyre a tanúsítványt megkaphatják.
A Webes beiratkozási oldalak használatával tanúsítványokat kérhet a hibás számítógépekhez (vagy más Active Directory erdők ügyfeleihez):
Az MMC konzolhoz hasonlóan nem tudta felülírni bizonyos dolgokat, például egy privát kulcs exportálását, ha ez nem engedélyezett a sablonban, és így tovább. Általában, alternatívaként, a webes beiratkozási oldalak nagyon hasznosak voltak, és gyakran a helyes.
Ezen okok miatt még a Webes beiratkozási oldalak szükségessége is meglepően alacsony szintre süllyedt. De a mohó gyerekek továbbra is hazaküldve az embereket: mindent visszaadtak, ahogy volt! Nem értek egyet velük, mivel nincs szükség a végrehajtott funkciók megkettőzésére, és a biztonság növelése nem lesz felesleges. Csak a szükséges funkciók áttelepítése a kiszolgáló részből (Webes beiratkozási oldalak) az ügyfélhez (Tanúsítványok beépülő modulja).
Amikor egy összetevőt telepít a Webes beiratkozási oldalakra, megadja a CA kiszolgálót, amellyel dolgozni fog és telepíteni fogja a szükséges IIS-összetevőket. Azonnal azonban nem fog működni. Pontosabban, ez lesz, de görbe. Tehát, milyen dolgokat kell konfigurálni ehhez a konfigurációhoz:
- Engedélyezze az SSL engedélyezését a webhelyek befogadására szolgáló webhelyen:
- Az IIS 7 és az IIS 7.5 esetében: Az SSL beállítása az IIS 7.0-ban
- A névtelen és a rendszermag (kernel) hitelesítésének letiltása és csak az Integrált hitelesítés engedélyezése:
- IIS 7 és IIS 7.5: Windows-hitelesítés konfigurálása (IIS 7)
- Konfigurálja a küldeményt azon fiókhoz, amelynek nevében a medence fut, amelyben fut be a Regisztrációs oldalakkal rendelkező webhely, ahogyan azt itt olvashatja: Webregisztráció támogatása másik számítógépen (opcionális)
Remélem, ez hasznos lesz.