L>Схемка, как схемка. Только вот thawte этому дяде скорее всего такой сертификат не даст. Они проверяют, кому дается сертификат. Если даст, то можно тушить свет.
Если дядино лицо было юридическим, то после выключения света оно огребет штраф на, дай бог памяти, то ли 1e5 то ли 1e6 долларов США. А ежели оно было физическим, то всего лишь 1e4 долларов.
... << RSDN@Home 1.0 beta 6 >>
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Re[8]: Собственные сертификаты для IIS web сервера
Здравствуйте, Dima2, Вы писали:
D>Здравствуйте, Lexey, Вы писали:
L>>Только вот thawte этому дяде скорее всего такой сертификат не даст. D>Это почему же. Если thawte не даст, то в винде лежит еще два десятка СА, можно у них попробовать.
Можно.
L>>Они проверяют, кому дается сертификат. D>Я же к тому и веду. Какие административные ф-ии выполняют сторонние СА. Как они проверяют кому дается сертификат, что они проверяют — паспорт, фотографируют лицо....
А хрен их знает. Thawte для выдачи мыльного сертификата требует номер паспорта. При этом все равно выдается какой-то "урезанный" сертификат, которому можно доверять только со знаком вопроса. Если хочешь нормальный сертификат, то, afair, они требует чтобы кто-то за тебя поручился. В случае доменных сертификатов они скорее всего в первую очередь проверяют базы регистраторов доменов.
D>Обмениваются ли между собой информацией различные СА, существуют ли по этому поводу какие-то положения.
Тоже хз. Скорее всего обмениваются.
L>>Если даст, то можно тушить свет. D>О тож. Т.е. реально мы не доверяем сторонним СА D>Лучше ставить свой СА, и давать сертификат этого своего СА клиенту лично в руки?
Можно и так. WebMoney, например, примерно так и делает.
"Будь достоин победы" (c) 8th Wizard's rule.
Re[3]: Собственные сертификаты для IIS web сервера
Здравствуйте, vvsfn, Вы писали:
L>>А ты сертификат своего CA установил в trusted root authority?
V>Спасибо Вам за ответ. Если можете, то объясните, пожалуйста, V>что такое свой CA? Как до него добраться на собственной машине?
Тот, кто выдает тебе сертификат зовется Certificate Authority (CA). Я так понял, что сертификат ты генерировал сам с помощью MS Certificate Server'а? Вот этот сервер для тебя и будет CA. Ты должен его сертификат установить на своем сервере как trusted root.
"Будь достоин победы" (c) 8th Wizard's rule.
Re[6]: Собственные сертификаты для IIS web сервера
Здравствуйте, vvsfn, Вы писали:
V>И последний глупый вопрос. V>Может быть подскажите, как установить V>MS Certificate Server (Service) на машину V>с Windows 2000 Professional (SP3).
Никак (если не пытаться устраивать всякие грязные хаки).
V>Где взять дистрибутив. V>В компонентах Windows я его не нашел.
Это серверный компонент, соответственно только с сервером он и идет. Отдельного дистрибутива нет.
Здравствуйте, vvsfn, Вы писали:
V>Как самому создать сертификат для IIS'a, не прибегая к таким организациям, как Verisign и Thawte, которые могут выдать сертификат, но делают это платно. Сертификат мне нужен для поддержки SSL на IIS'e. Пытался сделать это через certificate request в IIS'e. Заполнил все поля запроса(request'a) сертификата. Потом запустил консоль (mmc) Сертификаты для данного компьютера. Экспортировал полученный из запроса сертификат. Но при этом на сертификате появляется надпись "This certificate has an nonvalid digital signature." Почему? Если у меня кривые руки, то подскажите, как надо было делать правильно. Как можно это сделать?
А ты сертификат своего CA установил в trusted root authority?
"Будь достоин победы" (c) 8th Wizard's rule.
Re[8]: Собственные сертификаты для IIS web сервера
Здравствуйте, Sinclair, Вы писали:
S>Здравствуйте, Lexey, Вы писали:
L>>Схемка, как схемка. Только вот thawte этому дяде скорее всего такой сертификат не даст. Они проверяют, кому дается сертификат. Если даст, то можно тушить свет. S>Если дядино лицо было юридическим, то после выключения света оно огребет штраф на, дай бог памяти, то ли 1e5 то ли 1e6 долларов США. А ежели оно было физическим, то всего лишь 1e4 долларов.
Может быть, только этого дядю еще поймать придется. Да и его прибыль может составить много больше.
Как самому создать сертификат для IIS'a, не прибегая к таким организациям, как Verisign и Thawte, которые могут выдать сертификат, но делают это платно. Сертификат мне нужен для поддержки SSL на IIS'e. Пытался сделать это через certificate request в IIS'e. Заполнил все поля запроса(request'a) сертификата. Потом запустил консоль (mmc) Сертификаты для данного компьютера. Экспортировал полученный из запроса сертификат. Но при этом на сертификате появляется надпись "This certificate has an nonvalid digital signature." Почему? Если у меня кривые руки, то подскажите, как надо было делать правильно. Как можно это сделать?
Re[2]: Собственные сертификаты для IIS web сервера
Здравствуйте, Lexey, Вы писали:
L>Тот, кто выдает тебе сертификат зовется Certificate Authority (CA). Я так понял, что сертификат ты генерировал сам с помощью MS Certificate Server'а? Вот этот сервер для тебя и будет CA. Ты должен его сертификат установить на своем сервере как trusted root.
Спасибо за подробный ответ.
Я не понимал некоторые вещи.
Картина прояснилась.
Re[5]: Собственные сертификаты для IIS web сервера
И последний глупый вопрос.
Может быть подскажите, как установить
MS Certificate Server (Service) на машину
с Windows 2000 Professional (SP3).
Где взять дистрибутив.
В компонентах Windows я его не нашел.
Заранее благодарен.
Re[7]: Собственные сертификаты для IIS web сервера
А я вот не пойму в чем состоит "эпохальная" миссия сторонних СА.
Какие административные ф-ии они выполняют, в чем их преимущество, кроме того что их сертификаты устанавливаются с виндами. Я так понимаю в протоколе SSL при обмене public ключами между клиентом и сервером, public ключ сервера проверяется ключом СА. Короче что гаранитует сертификат СА ? То что с таким именем сертификата больше никто из СА не выдавал, то что больше такого сертификата никто не получит ?
Re[2]: Собственные сертификаты для IIS web сервера
Здравствуйте, Dima2, Вы писали:
D>А я вот не пойму в чем состоит "эпохальная" миссия сторонних СА. D>Какие административные ф-ии они выполняют, в чем их преимущество, кроме того что их сертификаты устанавливаются с виндами. Я так понимаю в протоколе SSL при обмене public ключами между клиентом и сервером, public ключ сервера проверяется ключом СА. Короче что гаранитует сертификат СА ? То что с таким именем сертификата больше никто из СА не выдавал, то что больше такого сертификата никто не получит ?
Подпись CA гарантирует, что это действительно сертификат получателя, а не сертификат какого-нибудь дяди, который засел посередине между тобой и получателем и желает выдать себя за получателя.
"Будь достоин победы" (c) 8th Wizard's rule.
Re[3]: Собственные сертификаты для IIS web сервера
Здравствуйте, Lexey, Вы писали:
L>Подпись CA гарантирует, что это действительно сертификат получателя, а не сертификат какого-нибудь дяди, который засел посередине между тобой и получателем и желает выдать себя за получателя.
Хорошо, а этот дядя посередине разве не может получить сертификат на том же verisign, thwate ..., и подсовывать этот сертификат.
Re[4]: Собственные сертификаты для IIS web сервера
Здравствуйте, Dima2, Вы писали:
L>>Подпись CA гарантирует, что это действительно сертификат получателя, а не сертификат какого-нибудь дяди, который засел посередине между тобой и получателем и желает выдать себя за получателя.
D>Хорошо, а этот дядя посередине разве не может получить сертификат на том же verisign, thwate ..., и подсовывать этот сертификат.
Может. Только у сертификата есть имя владельца. Врядли дяде удастся получить сертификат на то же имя, что и получатель.
"Будь достоин победы" (c) 8th Wizard's rule.
Re[5]: Собственные сертификаты для IIS web сервера
Здравствуйте, Lexey, Вы писали:
L>Может. Только у сертификата есть имя владельца. Врядли дяде удастся получить сертификат на то же имя, что и получатель.
Опять я недогоняю. Почему?
Смотри такая схема.
Есть я — клиент. Я соединяюсь к некоему правильному, скажем финансовому серверу "financial.com" по протоколу SSL. Этот сервер имеет сертификат на имя "financial.com" выданный скажем verisign. Все Ok.
Тут появляется дядя, который ставит передо мной свой хитрый прокси сервер, который при моей попытке связаться с "financial.com" переключает меня на свой левый сервер "financial.com" с сертификатом выданным на то же имя "financial.com", но другой конторой, например Thawte. И я как клиент успешно сливаю все свои пароли этому левому серверу.
Как схемка?
Re[6]: Собственные сертификаты для IIS web сервера
Здравствуйте, Dima2, Вы писали:
D>Есть я — клиент. Я соединяюсь к некоему правильному, скажем финансовому серверу "financial.com" по протоколу SSL. Этот сервер имеет сертификат на имя "financial.com" выданный скажем verisign. Все Ok.
D>Тут появляется дядя, который ставит передо мной свой хитрый прокси сервер, который при моей попытке связаться с "financial.com" переключает меня на свой левый сервер "financial.com" с сертификатом выданным на то же имя "financial.com", но другой конторой, например Thawte. И я как клиент успешно сливаю все свои пароли этому левому серверу.
D>Как схемка?
Схемка, как схемка. Только вот thawte этому дяде скорее всего такой сертификат не даст. Они проверяют, кому дается сертификат. Если даст, то можно тушить свет.
"Будь достоин победы" (c) 8th Wizard's rule.
Re[7]: Собственные сертификаты для IIS web сервера
Здравствуйте, Lexey, Вы писали:
L>Только вот thawte этому дяде скорее всего такой сертификат не даст.
Это почему же. Если thawte не даст, то в винде лежит еще два десятка СА, можно у них попробовать.
L>Они проверяют, кому дается сертификат.
Я же к тому и веду. Какие административные ф-ии выполняют сторонние СА. Как они проверяют кому дается сертификат, что они проверяют — паспорт, фотографируют лицо....
Обмениваются ли между собой информацией различные СА, существуют ли по этому поводу какие-то положения.
L>Если даст, то можно тушить свет.
О тож. Т.е. реально мы не доверяем сторонним СА
Лучше ставить свой СА, и давать сертификат этого своего СА клиенту лично в руки?