мне дали вебсервис, который работает только если ему предоставить сертификат.
И что то у меня проблемы с этим сертификатом.
Я создал реквест на своем IIS, получил файл
отправил этот файл организации которая выдает сертификаты
они мне прислали в ответ сертификат
Я его импортировал в IIS, но
у меня все равно не получается достучаться до вебсервиса,
я не могу импортировать сертификат как Personal certificate в IE
Я на работе пообщался с людьми, говорят про какой то keystore, но они java люди поэтому особо рассказать как и что не могут
Кто нибудь сталкивался с проблемой похожей на мою, хотя бы в какую сторону рыть подскажите
Здравствуйте, shapovalov, Вы писали:
S>Привет,
S>мне дали вебсервис, который работает только если ему предоставить сертификат. S>И что то у меня проблемы с этим сертификатом.
я не понял, у вас аутентификация клиентов по сертификату или серверный сертификат для https?
Если первое — сертификат нужно получать не на сервер, а на человека. Если второе — ничего не нужно импортировать в IE
S>Я создал реквест на своем IIS, получил файл S>отправил этот файл организации которая выдает сертификаты S>они мне прислали в ответ сертификат S>Я его импортировал в IIS, но S>у меня все равно не получается достучаться до вебсервиса, S>я не могу импортировать сертификат как Personal certificate в IE
S>Я на работе пообщался с людьми, говорят про какой то keystore, но они java люди поэтому особо рассказать как и что не могут
S>Кто нибудь сталкивался с проблемой похожей на мою, хотя бы в какую сторону рыть подскажите
S>Спасибо, S>Александр.
Re: Как достучаться до вебсервиса используя сертифика
Здравствуйте, маген, Вы писали:
S>>мне дали вебсервис, который работает только если ему предоставить сертификат. S>>И что то у меня проблемы с этим сертификатом.
М>Александр, гуглите "клиентский SSL сертификат".
М>Вы же получили и установили серверный.
И да, вообще-то немного странно вы описали ситуацию — нормальный веб-сервис же должен как-то сопоставить ваш сертификат вашей учетной записи (на сервисе), обычно владелец сервиса сам их своим клиентам раздает. Без этого вроде смысл теряется.
Re[3]: Как достучаться до вебсервиса используя сертифика
Спасибо за ответы,
Вебсервис который я должен использовать на Java, он на вебсфере работает,
люди из Java команды доступ к нему имеют, они используя какие то джавовские утилиты сгенирировали нужные сертификаты.
Сертификат я получил от Verisign, это одновременно серверный и клиентский сертификаты
Проблема как раз в том что я не совсем понимаю как из серверного сертификата сделать клиентский, на эту тему гуглил, и как понял это разные сертификаты и получать я их должен от Verisign, но мне говорят что это не так.
Джависты говорят что они на основании полученного от Verisign сертификата как то генерируют storagekey и уже оттуда получают персональный сертификат
но они для этого пользуются своими утилитами, и как это сделать для IIS (.net) они не знают
Я не могу что то найти инфу про эти storagekey, чтоб хоть немного понять в какую сторону рыть.
Здравствуйте, shapovalov, Вы писали:
S>Здравствуйте,
S>Спасибо за ответы, S>Вебсервис который я должен использовать на Java, он на вебсфере работает, S>люди из Java команды доступ к нему имеют, они используя какие то джавовские утилиты сгенирировали нужные сертификаты. S>Сертификат я получил от Verisign, это одновременно серверный и клиентский сертификаты S>Проблема как раз в том что я не совсем понимаю как из серверного сертификата сделать клиентский, на эту тему гуглил, и как понял это разные сертификаты и получать я их должен от Verisign, но мне говорят что это не так. S>Джависты говорят что они на основании полученного от Verisign сертификата как то генерируют storagekey и уже оттуда получают персональный сертификат S>но они для этого пользуются своими утилитами, и как это сделать для IIS (.net) они не знают S>Я не могу что то найти инфу про эти storagekey, чтоб хоть немного понять в какую сторону рыть.
S>Спасибо, S>Александр.
"Клиентских" и "серверных" сертификатов не бывает. Понятия эти обычно используют, чтобы условно различить назначение сертификата в данном программном комплексе. У сертификата есть аттрибуты Subject — тот, на кого сертификат выписан, и Usage — для чего сертификат может использоваться. Судя по Вашему сумбурному описанию, об SSL речи не идёт, так как вебсервисы работают поверх HTTP, а SSL "садится" на TCP, то есть между HTTP и TCP.
Похоже, речь идёт об использовании сертификата для аутентификации клиента. Схема, вероятно, такая. Сертификат от Verisign устанавливается в хранилище рутовых сертификатов, сделать можно оснасткой MMC. Возможно, в конфиге сервиса нужно уазать этот сертификат. Затем данный сертификат используется в качестве издательского при выдаче сертификатов клиентам. Тое есть для каждого клиента выписывается сертификат, в котором в качестве издателя фигурирует рутовый сертификат. Издавать можно, подняв центр сертификации или какой-нибудь утилитой, например makecert. Можно и программно, API имеется, но это нетривиально. Впрочем, возможно, что это может жделать IIS, я не в курсе. Возможно, эти сертификаты тоже нужно регистрировать в сервисе. Дале этот "клиентский" сертификат передаётся клиенту и должен быть установлен в его персональное хранилище, после чего можно будет его выбрать в браузере.
Впрочем, схема может и отличаться, выясняйте подробности.
"Нормальные герои всегда идут в обход!"
Re[4]: Как достучаться до вебсервиса используя сертифика
Здравствуйте, shapovalov, Вы писали:
S>Проблема как раз в том что я не совсем понимаю как из серверного сертификата сделать клиентский, на эту тему гуглил, и как понял это разные сертификаты и получать я их должен от Verisign, но мне говорят что это не так.
Я подумал вы не можете настроить https на своем сервере, т.к. писали про IIS. Если же вам наоборот нужно подключиться к другому серверу используя клиентский сертификат, то:
service.ClientCertificates.Add(ваш сертификат).
Обратите внимание! Сертификат должен иметь приватный ключ. Если он в хранилище -- то должен быть без пароля + должны быть права на доступ у вызывающего юзера.
S>Джависты говорят что они на основании полученного от Verisign сертификата как то генерируют storagekey и уже оттуда получают персональный сертификат S>но они для этого пользуются своими утилитами, и как это сделать для IIS (.net) они не знают S>Я не могу что то найти инфу про эти storagekey, чтоб хоть немного понять в какую сторону рыть.
Герерируйте с помощью OpenSSL.
Re[5]: Как достучаться до вебсервиса используя сертифика
Здравствуйте,
>Обратите внимание! Сертификат должен иметь приватный ключ. Если он в хранилище -- то должен быть без пароля + должны быть права на доступ у вызывающего юзера.
>Схема, вероятно, такая. Сертификат от Verisign устанавливается в хранилище рутовых сертификатов, сделать можно оснасткой MMC...
да, похоже это то что нужно, мне джависты тоже про хранилища сертификатов говорили. вроде как я его у себя на компе должен сделать
буду рыть про "хранилища сертификатов"
Народ пасибо!!! Все получилось, нашел я это хранилице это консоль mmc. Без опыта с сертификатами сразу и не догадаешься как все это дело заставить работать.
В firefox пока только получилось его заставить работать, IE что то даже после импорта сертификата не хочет работать. но это уже думаю не столь большая проблема,
главное что хоть как то работает
"Нормальные герои всегда идут в обход!"
