Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Не передаётся цепочка сертификатов клиенту в IIS (http://forum.oszone.net/showthread.php?t=208187)

zealot01 03-06-2011 20:13 1687993
Не передаётся цепочка сертификатов клиенту в IIS
 
Здравствуйте. У меня вот такой вопрос. Решил установить SSL - шифрование трафика у себя на IIS 7. Создал корневой самоподписаный сертификат, подписал им сертификат сервера, установил корневой и сертификат сервера в хранилище локального компьютера. Всё работает, клиенты заходят. Проблема в том, что клиентам передаётся только сертификат сервера и в браузере показан только этот сертификат(если на замке щёлкнуть и посмотреть иерархию). Как заставить IIS передавать всю цепочку сертификатов, чтобы у пользователя была возможность установить корневой и промежуточные сертификаты самостоятельно.Видел, что такая возможность есть, не знаю как сделать.

QRS 03-06-2011 20:37 1688001
Цитата:
Цитата zealot01
Создал корневой самоподписаный сертификат, подписал им сертификат сервера, »
Это как? Вы точно центр сертификации подняли?

Предполагаю, что Вы пользуетесь самоподписанным сертификатом (который и есть корневой), т.о. у Вас нет никаких иерархий и цепочек сертификатов.

Если Вам необходим сертификат для внешних (по отношению к Вашей организации) пользователей, то лучшее решение - заказать сертификат в соответствующем центре - это платно, но зато Ваш сертификат будет проходить проверку подлинности на всех ПК мира :)
Если сертификат только для собственных пользователей, то либо пользуйтесь самоподписанным (придется настроить доверие на всех ПК, что можно сделать через Групповую политику или руками), либо поднимайте Центр сертификации.

PS: если иерархия есть - покажите скрин сертификата.

zealot01 03-06-2011 20:58 1688013
Сертификаты и ключи делал средствами OpenSSL, им же подписал запрос на серверный сертификат. Запрос на серверный сертификат тоже делал через OpenSSL. Серверный сертификат ставил как pfx контейнер в IIS. Тоесть всё делал без Microsoft CA. Иерархия есть, как уже было написано, сначала идёт корневой сертификат, потом сертификат сервера.
Просто я видел, как при заходе на некоторые сайты показана вся иерархия и корневой перечёркнут, так как нет в хранилище довереных браузера (и промежуточных в хранилище нет).
Так как этих сертификатов вообще нет в хранилище пользователя, то они передаются при установке SSL соединения и можно просто установить корневой, чтобы не было ошибки.
У меня же показан только серверный сертификат и пишется ошибка, что невозможно проверить сертификат сервера, правильная иерархия будет показана только если корневой сертификат установить из файла. На работу приеду, сделаю скрины.


Время: 12:27.

Время: 12:27.
© OSzone.net 2001-2025