Ceva din ultima vreme a devenit probleme mai frecvente legate de problemele paginilor de înscriere pe Web. În acest post voi lua în considerare 3 puncte:
- Solicitarea de certificate pentru computer (cu instalarea certificatului în repozitoriul LocalMachine);
- Solicitați certificate în numele unui alt utilizator (Înscrieți-vă pe nume);
- Configurați paginile de înscriere pe Web când rulează pe un server separat de la CA.
- solicitați certificate numai acele șabloane în care Subiectul a fost construit în mod automat pe baza datelor din contul Active Directory în numele căruia a fost făcută solicitarea;
- Dacă șablonului i se permite să utilizeze mai multe CSP (furnizor de servicii criptografice), puteți alege unul care aveți nevoie pentru un anumit certificat sau care vă place mai mult;
- Modificați lungimea cheii;
- Activează / dezactivează capacitatea de a exporta un certificat împreună cu o cheie privată (în PKCS # 12);
- Activați / dezactivați protecția puternică a cheii private (numai pentru certificatele de utilizator).
Dacă doriți să utilizați un șablon, subiect care trebuie să fie specificate în cerere (utilizat de obicei pentru clienții non-domenii sau de alte păduri Active Directory clienți) sau altceva, trebuia să se ocupe de această problemă în alte moduri. De exemplu, utilizați fișierul text al setărilor policy.inf împreună cu utilitarul CertReq.exe sau Paginile de înscriere pe Web. Paginile de înscriere în paginile web au fost parte integrantă a componentei Autorității de Certificare. Când instalați Web înscriere Pagini instalează IIS (în realitate, de multe ori trebuie să-l instalați în prealabil, astfel încât să nu-l ajustați manual) și copiat în sistemul stabilit fișiere ASP și de control ActiveX numit Xenroll. Acest ActiveX este un "strat" între client și server și era responsabil pentru cookie-uri și multe altele. Unele module cookie sunt stocate în aceste module cookie, de exemplu, numărul solicitării care a fost trimis la serverul CA și în care ați putea primi apoi certificatul.
Și utilizând paginile de înscriere pe Web, puteți solicita certificate pentru computerele bug-uri (sau clienții altor păduri Active Directory):
La fel ca și cu consola MMC, nu poate trece peste unele lucruri, de exemplu, exportă cheia privată, în cazul în care acest lucru nu este permis într-un șablon și mai mult. În general, ca alternativă, Paginile de înscriere pe Web au fost foarte utile și adesea cele mai potrivite.
Din aceste motive, chiar și nevoia de pagini Web de înscriere a scufundat până la un nivel șocant scăzut. Dar copiii lacomi continuă să-i supărească pe oameni: întoarceți totul așa cum a fost! Nu pot fi de acord cu ele, deoarece nu este necesară duplicarea funcționalității implementate, iar creșterea siguranței nu va fi superfluă. Doar sa întâmplat migrarea funcționalității necesare din partea serverului (paginile de înscriere Web) către client (certificat snap-in).
Când instalați o componentă pe Paginile de înscriere Web, specificați serverul CA cu care vor lucra și instalați componentele IIS necesare pentru aceasta. Cu toate acestea, imediat nu va funcționa. Pentru a fi mai precis, va fi, dar este strâmb. Deci, ce lucruri trebuie să configurați pentru această configurație:
- Activați SSL pentru site-ul Web unde vor fi găzduite Paginile de înscriere Web:
- Pentru IIS 7 și IIS 7.5: Cum se configurează SSL pe IIS 7.0
- Dezactivați autentificarea anonimă și kernel (kernel) și activați numai autentificarea integrată:
- Pentru IIS 7 și IIS 7.5: Configurați autentificarea Windows (IIS 7)
- Configurați delegarea pentru contul în numele căruia se execută grupul, în care rulează site-ul cu paginile Web de înscriere, după cum se descrie aici: Instalați suportul de înscriere pe un alt computer (opțional)
Sper că acest lucru va fi util.
Trimiteți-le prietenilor: