Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Программное обеспечение Linux и FreeBSD (http://forum.oszone.net/forumdisplay.php?f=11)
-   -   Получить доменный сертификат для почтового сервера (http://forum.oszone.net/showthread.php?t=256170)

El Scorpio 13-03-2013 02:10 2109903

Получить доменный сертификат для почтового сервера
 
Добрый день.
Есть домен с контроллером на Windows 2008
Есть локальный почтовый сервер Postfix/Dovecot на ubuntu 10.04

Сейчас службы почтового сервера используют автоматически созданный самоподписный сертификат для SSL/TSL
Как запросить для почтового сервера сертификат, подписанный контроллером домена (роль центра сертификации на КД настроена)?

Как я понимаю, задача разделяется на три этапа.
1. Генерация закрытого ключа и запроса на сертификат на почтовом сервере
2. Передача запроса на сервер центра сертификации и формирование сертификата открытого ключа
3. Размещение файлов закрытого ключа и сертификата открытого ключа на почтовом сервере

exo 13-03-2013 02:17 2109907

Цитата:

Цитата El Scorpio
подписанный контроллером домена »

для каких целей сертификат нужен? для подключения к другому своему серверу?
ибо, выданный в своём CA не будет ничем отличаться от самоподписанного.
Если конечно ваш CA не является доверенный интернету...
Цитата:

Цитата El Scorpio
Как я понимаю, задача разделяется на три этапа. »

если я не ошибаюсь, то всё выполняется в пределах Windows CA.
Мне когда нужны были сертификаты для IPsec, я только на Windows CA их делал, а потом только в шлюз их прописывал...
к сожалению, все шаги успешно забыты (

El Scorpio 13-03-2013 02:23 2109909

Цитата:

Цитата exo
для каких целей сертификат нужен? »

Для работы почтовых программ на компьютерах, входящих в состав домена

Чтобы программы не пугали юзверей сообщениями о том, что используется неизвестный сертификат, и чтобы не регистрировать этот сертификат на каждом компьютере.

exo 13-03-2013 02:28 2109912

вот пример того, что там уже имеются сертификаты в наличии, т.е. вам их нужно в Windows CA выпустить.

El Scorpio 13-03-2013 02:57 2109924

Цитата:

Цитата exo
вот пример того, что там уже имеются сертификаты в наличии »

В статье по ссылке описано, как задействовать полученные ключи (этап 3). С этим у меня проблем нет (пока).
Второй этап, в принципе тоже понятен. Открыть нужную консоль MMC, выбрать действие "загрузить запрос" (файл *.req или аналогичный)
Сейчас меня интересует сам процесс самостоятельной генерации файлов закрытого ключа и запроса.

Upd.
Сгенерировал ключ командой
openssl req -x509 -nodes -new -newkey rsa:2048 -keyout rsa_key.pem -out certreq.pem
Дал ответы на запрашиваемые значения, получил два файла. (кстати, можно ли эти ответы автоматически загрузить из текстового файла?)


Закрытый ключ перенёс в нужный каталог, запрос скопировал на контроллер домена.
Пытаюсь загрузить файл запроса в центр управления сертификатами (Все задачи \ Выдать новый запрос \ выбор файла запроса), выводится сообщение об ошибке "В запросе отсутствует информация о шаблоне сертификата".
После этого мой запрос отображается в папке "Неудачные запросы".

exo 13-03-2013 12:43 2110151

Цитата:

Цитата El Scorpio
(кстати, можно ли эти ответы автоматически загрузить из текстового файла?) »

-subj
Цитата:

Можно автоматизировать ввод ответов с помощью опции -subj.
openssl req \
-x509 -nodes -days 365 \
-subj '/C=US/ST=Oregon/L=Portland/CN=www.madboa.com' \
-newkey rsa:1024 -keyout mycert.pem -out mycert.pem

Samuel 10-04-2013 14:23 2129730

Здравствуйте.

У меня та же самя ситуация, подскажите, пожалуйста, чем всё кончилось? Вконце концов, где сгенерировали сертификат - на CA или на ubuntu? И какой шаблон использовали на CA?


Время: 04:26.

Время: 04:26.
© OSzone.net 2001-2025