Страница 1 из 1

Как получить сертификат с именем, отличным от доменного

Добавлено: 10 мар 2009 19:38, Вт
UncleFather

Ситуация:

Есть АД, в ней установлен Центр Сертификации (ЦС). Установлены службы RDP, WWW и пр. к которым пользователи получают доступ как изнутри так и снаружи.

Имена, под которыми сервера получают ключи от ЦС из оснастки «Сертификаты» являются внутренними именами, например, server.domain.local. ДНС внутри сети сконфигурирован таким образом, что пользователи внутренней сети обращаются к этим серверам по внешним именам, например, server.mycomp.ru - для того, чтобы пользователи ноутбуков не задумывались какой адрес им набирать извне и изнутри.
В результате имеем: сертификаты выданы по внутренним именам, обращение к серверам идет по внешним именам, вследствие чего возникает ошибка сертификата. Для служб IIS - это не проблема - просто нужно получить сертификат прямо из оснастки IIS (см. далее) с нужным именем, а вот для RDP нужно будет еще и сделать экспорт - импорт сертификата.

Оснастка «Сертификаты» не дает возможность прописать другое имя хоста, так же как и веб интерфейс (http://цс/certsrv).

Решение:

Идем на сервер, где установлен IIS. Открываем любой web-узел -> «Свойства» -> «Безопасность каталога» -> «Сертификат» -> «Создать новый сертификат» (где указываем желаемое полное имя хоста). Если сертификат для узла уже установлен, то его нужно предварительно удалить. На самом деле он не удаляется, просто отменяется привязка к данному узлу.

Далее - из оснастки «Сертификаты» -> «Локальный компьютер» -> «Личные» - выбираем наш сертификат и делаем экспорт. Экспортируем вместе с закрытым ключом (хотя не уверен, что это необходимо) и включаем галочку «включить по возможности все сертификаты...»

Если для узла был установлен сертификат (см. предыдущий абзац), то возвращаем его на место «Заменить текущий сертификат».

Переходим на RDP сервер, на который хотим установить этот сертификат, открываем оснастку «Сертификаты» -> «Локальный компьютер» - делаем импорт этого сертификата. Далее заходим в настройки RDP и выбираем новый сертификат.

Не забываем удалять ненужные ключи..

Чтоб не задумываться над разрешением выдачи сертификатов, можно в политиках обработки запроса на выдачу сертификата поставить «Автоматически выдавать сертификат» на период всех манипуляций. Эта политика начинает действовать только после перезапуска службы сертификации.


Чтобы получить сертификат стандарта SHA256, Генерируем сертификат SHA256, подписанный AD на Windows 2003.