Kezdőoldal > PKI > Engedélyhez kötött tanúsítványok

Engedélyhez kötött tanúsítványok


Ha bármely tanúsítványsablonon bekapcsoljuk, hogy valakinek kell engedélyeznie a tanúsítvány-kiállítást, akkor pár dologra érdemes figyelnünk az igénylés során. A legegyszerűbb, ha ilyenkor webes felületet használunk a kérelem benyújtásához, ugyanis elbírálás után ugyanezen a felületen tudjuk lekérni a kapott tanúsítványt.

Amennyiben mégis mmc-t (vagy bármilyen más módszert) használunk, akkor a kliens-gépen ott lesz a Request, de az engedélyezés után kapott tanúsítvány kézhezvételéhez a leggyakrabban használt módszerek:

  1. exportáljuk a CA-n,
  2. kliensen kérjük le a tanúsítványt, a certreq segítségével (Figyelem: bármelyik tanúsítványt le tudjuk kérni a CA-tól, ha tudjuk a CA-ban található RequestID azonosítóját, így mindenképp jegyezzük meg, hogy melyiket akarjuk letölteni)
  • interaktív módon:

          certreq -retrieve RequestID

ezután kiválasztjuk a CA-t, illetve, hogy milyen néven/hova kerüljön mentésre a tanúsítvány, alapértelmezetten .cer lesz

  • automata üzemmódban:

          certreq.exe -retrieve -config <CAConfig> <RequestID> <OutPutCertFile.cer>

ekkor fontos, hogy a paraméterek ilyen sorrendben legyenek (az ID-t ne tegyük a -config elé, ne tegyük paraméter-megnevezési sorrendbe), a CAConfig pedig lehet pl. Server_Neve\CA_Neve (de certreq -retrieve /? természetesen mindig súg 😉 )

Amennyiben sikerült megkapnunk a tanúsítványt, az igénylő gépen importáljuk (akár grafikus felületen, dupla klikkel, akár certreq -accept <OutPutCertFile.cer> paranccsal), itt összerendelődik a privát kulccsal, így „teljessé” válik a tanúsítvány.

Bár néhány internetes fórumon szoktak rájuk hivatkozni, de a tanúsítvány-áttöltéshez se a „certutil -pulse” nem járható út, se a házirendben engedélyezett Auto-enrollment (User Configuration / Windows Settings / Security Settings / Public Key Policies / Certificate Services Client – Auto-Enrollment – erről majd egy következő cikkben még ejtek szót) nem hatásos, mint a hivatalos cikk is jelzi.

Advertisements
  1. soder
    június 13, 2016 - 8:38 de.

    Őszintén megmondva, konstans fáj a f@szom a PKI-tól MS platformon, és az intézetis barmok 16 éve (nagyvonalúan Windows 2000-től számolom a CA szolgáltatás születését) nem bírnak egy rohadt használható MSPRESS könyvet kiadni. Helyette olvasgathatod a Brian Komar-os borzalmat, ami a köszönetnyilvánítás, tartalomjegyzék és a bevezető után már kb. a 10. oldalon az ESE adatbázis indexbitjeit boncolja, 20x próbáltam nekikezdeni olvasni, 5 oldal után vágtam a sarokba.

    • soder
      június 13, 2016 - 8:40 de.

      A cikkért pedig ezután még inkább köszönet, az MSPRESS/ PKI teamnek havonta kéne csekket küldenie neked és a hozzád hasonlóknak, akik az ő szarjukat a széles közönség felé emészthetőre rágjátok.

    • június 13, 2016 - 8:59 de.

      A hozzászólásokról emailben értesülök, s az elsőt olvasva hirtelen nem értettem, hogy most a PKI-val vagy az MS-el van bajod 🙂 De aztán jött a következő, s örültem, hogy ismét újabb emberkénél sikerült rendezni a gondolatokat 😀

  1. No trackbacks yet.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

%d blogger ezt kedveli: