Mam wyjątkową sytuację, w której muszę wdrożyć uwierzytelnianie za pomocą certyfikatu klienta przez HTTPS między przeglądarką IE a usługami IIS 6. Przeglądarka i usługi IIS są oddzielone zaporą sieciową, która zezwala przeglądarce na łączenie się z usługami IIS na porcie SSL.Jak wygenerować certyfikat klienta SSL z odłączonej sieci?
Posiadamy wewnętrzny serwer certyfikatów w tej samej sieci co IIS. Wygenerowałem certyfikat serwera SSL dla IIS, który jest zainstalowany. Skonfigurowałem usługi IIS tak, aby zezwalał na tylko SSL, wymagają certyfikatów klienta.
Ograniczeniem jest tutaj przeglądarka znajduje się w odłączonej sieci, więc nie mogę przejść do adresu URL CA http://caserver/CertSrv i request a client cert, tak jak zwykle.
Pomyślałem, że jeśli istnieje sposób, w jaki mogę wygenerować CSR na klucz publiczny głównego urzędu certyfikacji, mogę skopiować go do serwera CA, aby wygenerować certyfikat klienta. Jednak wydaje się, że nie ma w tym celu żadnego postanowienia w IE ani w Certyfikacie MMC. Wydaje się, że certyfikaty MMC wymagają bezpośredniego połączenia z urzędem certyfikacji.
Czy ktoś wcześniej to rozwiązał?
FYI, Wszystkie serwery odwołuje run Windows Server 2003.
Aktualizacja: Dzięki Jonas Oberschweiber i Mark Sutton za wskazanie narzędzia wiersza polecenia certreq.exe. Korzystając z tego, wygenerowałem CSR, a w konsekwencji certyfikat klienta, który pomyślnie się zainstalował. Jednak IE najwyraźniej nie wysyła tego certyfikatu klienta podczas uzyskiwania dostępu do serwera IIS, o którym mowa; nadal generuje 403,7 "Wymagany certyfikat klienta SSL:" Wymagane. " Podejrzewam, że powodem jest to, że pole Subject certyfikatu klienta nie jest zgodne z identyfikatorem użytkownika konta z uruchomionym programem IE, a więc może nie wysyła certyfikatu klienta niezgodnego. Temat jest zgodny z tematem użytkownika, którego użyłem do przesłania CSR i wygenerowania certyfikatu klienta na drugim końcu firewalla.
Czy pole Temat ma znaczenie? Czy jest coś jeszcze, co muszę zrobić, aby umożliwić IE wysłanie tego certyfikatu?
Obawiam się, to nie jest to, czego się prosi. Kopiowanie w łańcuchu certyfikatów głównego urzędu certyfikacji jest banalne. Potrzebuję wygenerować certyfikat klienta dla odłączonego komputera. – spoulson