loading...
Здравствуйте. Решил что мои вопросы будут уместны на данной блоге. Сталкивался ли кто с такими вещами как сертификаты и ЭЦП?
Занимаюсь решением поставленной руководством задачи – реализация электронного документооборота на предприятии. В данный момент решается вопрос с ЭЦП.
Так вот. Есть сервер под управлением MS Windows 2008 R2 SP1 (временно виртуальный, так как схема только отрабатывается). Его роль – автономный корневой центр сертификации. Active Directory у нас нет. Все машины висят в сети самостоятельно, не в домене (около 1000 десктопов, да у нас ебанутый отдел вычислительной техники и мы живём без домена до сих пор). Из-за того, что сервер не входит в домен – центр сертификации выдаёт сертификаты только через запрос на сайте. Из всего этого следует, что он способен выдавать сертификаты с политикой применения только в сфере web, т.е. проверка подлинности клиента, проверка подлинности сервера, безопасность электронной почты и т.д.
А мне требуется получить от ЦС сертификат для подписывания документов, для применения его в системе управления инженерными данными. Ну или вообще сертификат с политикой применения – “Все политики применения”.
Как заставить сервер выдавать сертификаты данного типа? Есть там такая вещь как “Расширенный запрос сертификата”, но какой OID тогда задавать в типе запрашиваемого сертификата?
Помогите, если шарит кто. Задолбался ломать голову.
Боюсь, без AD тут никак, иначе как будет идентифицироваться пользователь, желающий сертификат для подписывания документов?
Тебе нужно поменять темплейт запросов на сертификаты. Но судя по тому, что я вижу, это можно сделать только в AD 🙁 Ну или не использовать MS CA…
//technet.microsoft.com/en-us/libra…
//technet.microsoft.com/en-us/libra…
Мой СА выдаёт, что шаблоны недоступны, так как машина не в домене.
Да, совсем забыл. Насколько я помню, это не значит, что ты не сможешь использовать сертификаты, например, s\mime для подписи документов или в других приложениях (если только они не проверяют соответствующие поля сертификата). Правда, кому нужен такой PKI… 🙂
ААААААААААААААААААААААААААААААААА
ДАНУНАфиг
Ебошь домен, но вы все равно ничего не внедрите, инфа 100%
kernel- Да ну нафиг! У нас почти всё реализовано необходимо. Осталось избавиться от ёбанных подписей ручкой на бумаге.
А домен да, так и думалось мне сразу.