У меня есть уникальная ситуация, когда мне нужно внедрить аутентификацию сертификата клиента через HTTPS между браузером IE и IIS 6. Браузер и IIS разделены брандмауэром, который позволяет браузеру подключаться к IIS на порту SSL.Как сгенерировать сертификат клиента SSL из отключенной сети?
У нас есть внутренний сервер сертификатов в той же сети, что и IIS. Я создал сертификат SSL-сервера для IIS и установлен. Я настроил IIS только разрешить SSL, потребовать сертификаты клиентов.
Ограничение на использование браузера в отключенной сети, поэтому я не могу перейти на адрес http://caserver/CertSrv CA и request a client cert, как обычно.
Я понял, был ли способ создать CSR для открытого ключа Root CA, я могу скопировать его на сервер CA для создания сертификата клиента. Но, как представляется, в IE или в MMC сертификатах не предусмотрено никаких положений. Кажется, что MMC сертификатов требует прямого подключения к CA.
Кто-нибудь решил это раньше?
FYI, все серверы ссылки запустить Windows Server 2003.
Обновление: Благодаря Jonas Oberschweiber и Марк Саттон для указывая инструмент командной строки Certreq.exe. Используя это, я создал CSR и, следовательно, сертификат клиента, который успешно устанавливается. Однако IE, по-видимому, не отправляет этот сертификат клиента при доступе к серверу IIS, о котором идет речь; он по-прежнему генерирует 403,7 «Запрещенный: сертификат клиента SSL». Я подозреваю, что причина в том, что поле Subject сертификата клиента не соответствует идентификатору пользователя учетной записи, запущенной IE, поэтому, возможно, не отправляет несовпадающий клиентский сертификат. Тема совпадает с тем пользователем, которого я использовал для отправки CSR, и сгенерировать клиентский сертификат на другом конце брандмауэра.
Имеет ли значение поле Subject? Есть ли что-то еще, что мне нужно сделать, чтобы IE мог отправить этот сертификат?
Я боюсь, что это не то, что я просил. Копирование по корневой цепи сертификации CA тривиально. Мне нужно создать сертификат клиента для отключенного компьютера. – spoulson 2008-11-07 12:45:13