Как получить сертификат с именем, отличным от доменного

Все об администрировании Windows NT/2000/2003/2008/2012 Server (в т.ч. R2) серверов. Групповые политики, домены, безопасность и пр. То, чего не найдешь в бескрайних просторах Интернета. Решения тех проблем, которые не решаются типовыми ответами, которые можно получить в техподдержке Майкрософта - а именно: переустановить продукт или купить какой-ть другой лицензионный диск.


Модератор: UncleFather

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1503
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

Как получить сертификат с именем, отличным от доменного

Сообщение UncleFather »

Ситуация:

Есть АД, в ней установлен Центр Сертификации (ЦС). Установлены службы RDP, WWW и пр. к которым пользователи получают доступ как изнутри так и снаружи.

Имена, под которыми сервера получают ключи от ЦС из оснастки «Сертификаты» являются внутренними именами, например, server.domain.local. ДНС внутри сети сконфигурирован таким образом, что пользователи внутренней сети обращаются к этим серверам по внешним именам, например, server.mycomp.ru - для того, чтобы пользователи ноутбуков не задумывались какой адрес им набирать извне и изнутри.
В результате имеем: сертификаты выданы по внутренним именам, обращение к серверам идет по внешним именам, вследствие чего возникает ошибка сертификата. Для служб IIS - это не проблема - просто нужно получить сертификат прямо из оснастки IIS (см. далее) с нужным именем, а вот для RDP нужно будет еще и сделать экспорт - импорт сертификата.

Оснастка «Сертификаты» не дает возможность прописать другое имя хоста, так же как и веб интерфейс (http://цс/certsrv).

Решение:

Идем на сервер, где установлен IIS. Открываем любой web-узел -> «Свойства» -> «Безопасность каталога» -> «Сертификат» -> «Создать новый сертификат» (где указываем желаемое полное имя хоста). Если сертификат для узла уже установлен, то его нужно предварительно удалить. На самом деле он не удаляется, просто отменяется привязка к данному узлу.

Далее - из оснастки «Сертификаты» -> «Локальный компьютер» -> «Личные» - выбираем наш сертификат и делаем экспорт. Экспортируем вместе с закрытым ключом (хотя не уверен, что это необходимо) и включаем галочку «включить по возможности все сертификаты...»

Если для узла был установлен сертификат (см. предыдущий абзац), то возвращаем его на место «Заменить текущий сертификат».

Переходим на RDP сервер, на который хотим установить этот сертификат, открываем оснастку «Сертификаты» -> «Локальный компьютер» - делаем импорт этого сертификата. Далее заходим в настройки RDP и выбираем новый сертификат.

Не забываем удалять ненужные ключи..

Чтоб не задумываться над разрешением выдачи сертификатов, можно в политиках обработки запроса на выдачу сертификата поставить «Автоматически выдавать сертификат» на период всех манипуляций. Эта политика начинает действовать только после перезапуска службы сертификации.


Чтобы получить сертификат стандарта SHA256, Генерируем сертификат SHA256, подписанный AD на Windows 2003.


Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение