Я новичок в MS CA и недавно установил настройку MS CA на ВМ. Я использовал веб-сервис, предоставленный « http://test.server.name.tld/certsrv », чтобы запросить сертификат. Я утвердил свой тестовый сертификат и вернулся в веб-сервис, чтобы получить мой утвержденный сертификат. Я заметил, что у меня нет секретного ключа, соответствующего запрошенному тестовому сертификату, и я попытался открыть его и найти в файловой системе на сервере личный ключ сертификата, но ничего не нашел.

Вот мой вопрос:

  1. Создает ли MS CA для вас закрытый ключ, когда вы используете веб-сервис для запроса нового сертификата.
  2. Если MS CA генерирует для вас закрытый ключ, где он находится и как его получить?
|источник

1 ответ1

0

Нет, конечно, MS CA (то есть серверное программное обеспечение центра сертификации в Microsoft Windows Server) не генерирует для вас закрытый ключ! Это был бы ужасный дизайн безопасности!

MS CA использует специальные теги HTML (которые изначально были проприетарными для MS, но в настоящее время широко поддерживаются), чтобы указать клиентскому веб-браузеру создать пару ключей и отправить в MS CA только открытый ключ. MS CA использует этот открытый ключ плюс идентификационную информацию, которую сервер уже знает об учетной записи, которую вы использовали при входе в веб-интерфейс MS CA по URL /certsrv , чтобы сгенерировать для вас сертификат открытого ключа и сделать этот новый сертификат. (и сертификаты CA в цепочке доверия) доступны для скачивания.

Когда ваш браузер видит специальные HTML-теги и генерирует пару ключей, он хранит закрытый ключ где-то локально на клиентском компьютере. Для MSIE в Windows это будет в "Магазине сертификатов Microsoft" (читайте слово "Store" как "Хранилище", а не "Retail Shop" :). Для Safari на Mac это будет в Mac Keychain. Другие браузеры могут использовать встроенные функции своей ОС для безопасного хранения закрытого ключа или могут реализовать свой собственный способ безопасного хранения закрытых ключей.

После загрузки недавно выпущенного сертификата вам, вероятно, потребуется установить его в ту же защищенную область хранения, в которую браузер поместил соответствующий закрытый ключ при его создании. Поэтому на Mac вам нужно импортировать этот сертификат в связку ключей. Я полагаю, что MSIE для Windows имеет элемент управления ActiveX или другой подключаемый модуль браузера или встроенную функциональность, которая автоматически загружает сертификат открытого ключа и устанавливает его в хранилище сертификатов Microsoft на клиентском компьютере.

[Предостережение, лектор: я не сталкивался с этим в системах на базе Windows годами (например, в эпоху Windows XP и Windows Server 2003), поэтому эта информация может быть ужасно устаревшей. Надеюсь, кто-то, кто более недавно знает, как это работает в системах на базе Windows, может исправить меня.]

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .