[Pili]

Цитата Vi-P:

ЦС у меня всё-таки будет изолированным, т.е. машина физически отрублена от сети. »

Это из-за повышенной секьюрити? Будет очень неудобно, тогда лучше нормальный УЦ создавать на российских криптоалгоритмах :) Файл списка отозванных сертификатов(СОС) *.crl будет регулярно переноситься с ЦС вручную? :)

Цитата Vi-P:

Для генерации сертификата для почтового сервера и клиентских машин мне на этих машинах надо предварительно сформировать какой-то запрос в ЦС и реализовать его на выход в виде файла для передачи в ЦС ? »

Проще через веб интерфейс ЦС, но если ЦС физически отрублен от сети... можно и на дискетах таскать запросы и выданные сертификаты.
Для реализации шифрования между клиентами, надо установить на клиентах сертификат ЦС, личный сертификат и обменяться открытыми ключами (можно так, клиент1 отосылает тестовое сообщение с цифр. подписью, клиент2 получает и заносит откр. ключ клиента1 в адр. книгу и отправляет в ответ сообщение с цифр. подписью, клиент1 получает сообщение клиента2 и заносит откр. ключ клиента2 в адр. книгу, после этого может откравить зашифр. сообщение клиенту1) Но удобнее, если ЦС будет в домене (и физически - в сети) тогда и winlogon с исп-ем сертификатов организовать (на смарткартах напр.)

[exo]

Цитата Pili:

можно и на дискетах таскать запросы »

http://localhost/certsrv/Default.asp на сервере с ЦС

[Vi-P]

А можно генерить сертификаты без запросов ?

[Pili]

Цитата exo:

http://localhost/certsrv/Default.asp на сервере с ЦС »

всё это замечательно, на localhost будут формироваться запросы и выпускаться сертификаты, как потом сертификаты (с закр. ключем) клиентам отдавать, если не на отчуждаемых носителях(дискетах напр), а "ЦС физически отрублен от сети."?

Цитата Vi-P:

А можно генерить сертификаты без запросов ? »

как вы это себе представляете? :)

[Vi-P]

Цитата Pili:

как вы это себе представляете? »

А что такого? Чисто теоритически это звучит вполне правдоподобно. Насколько я понимаю "запрос" от клиента содержит некую индивидуальную и уникальную для клиента информацию, так почему бы не предположить что вполне допустима обратная картина. Я не жду её от клиента а в случае обладания ею сразу вставляю её в сертификат.

Цитата Pili:

Для реализации шифрования между клиентами, надо установить на клиентах сертификат ЦС, личный сертификат и обменяться открытыми ключами (можно так, клиент1 отосылает тестовое сообщение с цифр. подписью, клиент2 получает и заносит откр. ключ клиента1 в адр. книгу и отправляет в ответ сообщение с цифр. подписью, клиент1 получает сообщение клиента2 и заносит откр. ключ клиента2 в адр. книгу, после этого может откравить зашифр. сообщение клиенту1) Но удобнее, если ЦС будет в домене (и физически - в сети) тогда и winlogon с исп-ем сертификатов организовать (на смарткартах напр.) »

Извиняюсь, схема применения сертификатов несколько поменялась (точнее я не сразу въехал что от меня хотят ). Вообщем так - есть почтовый сервер, плюс на нём IIS. Сервер доступен сотрудникам нашей фирмы и подключен к Интернету. Необходимо устроить доступ к почте для наших сотрудников по https (т.е.443 порт). Т.е. шифруется канал только между сотрудниками и почтовым сервером. Как на этом сервере сделать запрос на сертификат для ЦС и что надо установить на клиентах (серт.ЦС+личный ?) ?

[Pili]

Цитата Vi-P:

Я не жду её от клиента а в случае обладания ею сразу вставляю её в сертификат. »

Ну и что, все равно запрос на сертификат формируется, только уже не клиентом, а вами. Или вы хотите после выпуска сертификата изменить данные в сертификате? :)

Цитата Vi-P:

Как на этом сервере сделать запрос на сертификат для ЦС и что надо установить на клиентах (серт.ЦС+личный ?) ? »

проще - через веб интерфейс ЦС, формируете запррос, получаете сертификат, устанавливаете на IIS, то же самое у клиентов, сертификат пользователя нужно поместить в хранилище личные
Службы сертификации Windows 2000

[exo]

Цитата Pili:

всё это замечательно, на localhost будут формироваться запросы и выпускаться сертификаты, как потом сертификаты (с закр. ключем) клиентам отдавать, если не на отчуждаемых носителях(дискетах напр), а "ЦС физически отрублен от сети."? »

хм... я имел ввиду только запросы сертификатов. про перенос я ничего не сказал. перенос конечно будет на внешнем носителе. у меня, кстати, когда я переносил сертификаты по сети - они при установке ругались непонятными ошибками...

Цитата Vi-P:

https »

А я о чём спрашивал?

Цитата exo:

я так понял нужно на IIS https настроить? »

описание настройки HTTPS на IIS

[Pili]

Цитата exo:

когда я переносил сертификаты по сети - они при установке ругались непонятными ошибками... »

корневые сертификаты ЦС и СОС (*.crl) надо тоже переносить и устанавливать, но лучше если эти сертификаты будут доступпны в онлайне по полям в сертификате пользователей CRL Distribution Poin и Authority Info Access

[exo]

Pili,
у мну была следующая задача: есть два сервера на Solaris, в них нужно установить сертификаты для VPN. ЦС умер через месяц - ибо триальная версия была у криптопровайдера или как там его...
Он-лайн вы имеете ввиду - на ЦС ?

[Pili]

Цитата exo:

Он-лайн вы имеете ввиду - на ЦС ? »

обычно так и оставляют на ЦС, но это не обязательно (доступ к веб интерфейсу ЦС лучше ограничить), регулярный перенос на какой-либо доступный (лучше корпоративный) веб ресурс (на который есть ссылки по CDP в сертификатах пользователей) корневых сертификатов и crl можно запланировать как задачу с помощью стандартных средств (net use, copy), посмотрите пример тестового УЦ тут