Как самому создать сертификат для IIS'a, не прибегая к таким организациям, как Verisign и Thawte, которые могут выдать сертификат, но делают это платно. Сертификат мне нужен для поддержки SSL на IIS'e. Пытался сделать это через certificate request в IIS'e. Заполнил все поля запроса(request'a) сертификата. Потом запустил консоль (mmc) Сертификаты для данного компьютера. Экспортировал полученный из запроса сертификат. Но при этом на сертификате появляется надпись "This certificate has an nonvalid digital signature." Почему? Если у меня кривые руки, то подскажите, как надо было делать правильно. Как можно это сделать?

Здравствуйте, vvsfn, Вы писали:

V>Как самому создать сертификат для IIS'a, не прибегая к таким организациям, как Verisign и Thawte, которые могут выдать сертификат, но делают это платно. Сертификат мне нужен для поддержки SSL на IIS'e. Пытался сделать это через certificate request в IIS'e. Заполнил все поля запроса(request'a) сертификата. Потом запустил консоль (mmc) Сертификаты для данного компьютера. Экспортировал полученный из запроса сертификат. Но при этом на сертификате появляется надпись "This certificate has an nonvalid digital signature." Почему? Если у меня кривые руки, то подскажите, как надо было делать правильно. Как можно это сделать?

А ты сертификат своего CA установил в trusted root authority?

Здравствуйте, Lexey, Вы писали:

L>А ты сертификат своего CA установил в trusted root authority?

Спасибо Вам за ответ. Если можете, то объясните, пожалуйста,
что такое свой CA? Как до него добраться на собственной машине?

Заранее Вам спасибо.

Здравствуйте, vvsfn, Вы писали:

L>>А ты сертификат своего CA установил в trusted root authority?

V>Спасибо Вам за ответ. Если можете, то объясните, пожалуйста,
V>что такое свой CA? Как до него добраться на собственной машине?

Тот, кто выдает тебе сертификат зовется Certificate Authority (CA). Я так понял, что сертификат ты генерировал сам с помощью MS Certificate Server'а? Вот этот сервер для тебя и будет CA. Ты должен его сертификат установить на своем сервере как trusted root.

Здравствуйте, Lexey, Вы писали:

L>Тот, кто выдает тебе сертификат зовется Certificate Authority (CA). Я так понял, что сертификат ты генерировал сам с помощью MS Certificate Server'а? Вот этот сервер для тебя и будет CA. Ты должен его сертификат установить на своем сервере как trusted root.

Спасибо за подробный ответ.
Я не понимал некоторые вещи.
Картина прояснилась.

И последний глупый вопрос.
Может быть подскажите, как установить
MS Certificate Server (Service) на машину
с Windows 2000 Professional (SP3).
Где взять дистрибутив.
В компонентах Windows я его не нашел.

Заранее благодарен.

Здравствуйте, vvsfn, Вы писали:

V>И последний глупый вопрос.
V>Может быть подскажите, как установить
V>MS Certificate Server (Service) на машину
V>с Windows 2000 Professional (SP3).

Никак (если не пытаться устраивать всякие грязные хаки).

V>Где взять дистрибутив.
V>В компонентах Windows я его не нашел.

Это серверный компонент, соответственно только с сервером он и идет. Отдельного дистрибутива нет.

Здравствуйте, Lexey, Вы писали:

L>Это серверный компонент, соответственно только с сервером он и идет. Отдельного дистрибутива нет.

Ok. Теперь все понятно.

А я вот не пойму в чем состоит "эпохальная" миссия сторонних СА.
Какие административные ф-ии они выполняют, в чем их преимущество, кроме того что их сертификаты устанавливаются с виндами. Я так понимаю в протоколе SSL при обмене public ключами между клиентом и сервером, public ключ сервера проверяется ключом СА. Короче что гаранитует сертификат СА ? То что с таким именем сертификата больше никто из СА не выдавал, то что больше такого сертификата никто не получит ?

Здравствуйте, Dima2, Вы писали:

D>А я вот не пойму в чем состоит "эпохальная" миссия сторонних СА.
D>Какие административные ф-ии они выполняют, в чем их преимущество, кроме того что их сертификаты устанавливаются с виндами. Я так понимаю в протоколе SSL при обмене public ключами между клиентом и сервером, public ключ сервера проверяется ключом СА. Короче что гаранитует сертификат СА ? То что с таким именем сертификата больше никто из СА не выдавал, то что больше такого сертификата никто не получит ?

Подпись CA гарантирует, что это действительно сертификат получателя, а не сертификат какого-нибудь дяди, который засел посередине между тобой и получателем и желает выдать себя за получателя.

Здравствуйте, Lexey, Вы писали:

L>Подпись CA гарантирует, что это действительно сертификат получателя, а не сертификат какого-нибудь дяди, который засел посередине между тобой и получателем и желает выдать себя за получателя.

Хорошо, а этот дядя посередине разве не может получить сертификат на том же verisign, thwate ..., и подсовывать этот сертификат.

Здравствуйте, Dima2, Вы писали:

L>>Подпись CA гарантирует, что это действительно сертификат получателя, а не сертификат какого-нибудь дяди, который засел посередине между тобой и получателем и желает выдать себя за получателя.

D>Хорошо, а этот дядя посередине разве не может получить сертификат на том же verisign, thwate ..., и подсовывать этот сертификат.

Может. Только у сертификата есть имя владельца. Врядли дяде удастся получить сертификат на то же имя, что и получатель.

Здравствуйте, Lexey, Вы писали:

L>Может. Только у сертификата есть имя владельца. Врядли дяде удастся получить сертификат на то же имя, что и получатель.

Опять я недогоняю. Почему?
Смотри такая схема.

Есть я — клиент. Я соединяюсь к некоему правильному, скажем финансовому серверу "financial.com" по протоколу SSL. Этот сервер имеет сертификат на имя "financial.com" выданный скажем verisign. Все Ok.

Тут появляется дядя, который ставит передо мной свой хитрый прокси сервер, который при моей попытке связаться с "financial.com" переключает меня на свой левый сервер "financial.com" с сертификатом выданным на то же имя "financial.com", но другой конторой, например Thawte. И я как клиент успешно сливаю все свои пароли этому левому серверу.

Как схемка?

Здравствуйте, Dima2, Вы писали:

D>Есть я — клиент. Я соединяюсь к некоему правильному, скажем финансовому серверу "financial.com" по протоколу SSL. Этот сервер имеет сертификат на имя "financial.com" выданный скажем verisign. Все Ok.

D>Тут появляется дядя, который ставит передо мной свой хитрый прокси сервер, который при моей попытке связаться с "financial.com" переключает меня на свой левый сервер "financial.com" с сертификатом выданным на то же имя "financial.com", но другой конторой, например Thawte. И я как клиент успешно сливаю все свои пароли этому левому серверу.

D>Как схемка?

Схемка, как схемка. Только вот thawte этому дяде скорее всего такой сертификат не даст. Они проверяют, кому дается сертификат. Если даст, то можно тушить свет.

Здравствуйте, Lexey, Вы писали:

L>Только вот thawte этому дяде скорее всего такой сертификат не даст.
Это почему же. Если thawte не даст, то в винде лежит еще два десятка СА, можно у них попробовать.

L>Они проверяют, кому дается сертификат.
Я же к тому и веду. Какие административные ф-ии выполняют сторонние СА. Как они проверяют кому дается сертификат, что они проверяют — паспорт, фотографируют лицо....
Обмениваются ли между собой информацией различные СА, существуют ли по этому поводу какие-то положения.

L>Если даст, то можно тушить свет.
О тож. Т.е. реально мы не доверяем сторонним СА
Лучше ставить свой СА, и давать сертификат этого своего СА клиенту лично в руки?

Здравствуйте, Lexey, Вы писали:


L>Схемка, как схемка. Только вот thawte этому дяде скорее всего такой сертификат не даст. Они проверяют, кому дается сертификат. Если даст, то можно тушить свет.
Если дядино лицо было юридическим, то после выключения света оно огребет штраф на, дай бог памяти, то ли 1e5 то ли 1e6 долларов США. А ежели оно было физическим, то всего лишь 1e4 долларов.

Здравствуйте, Dima2, Вы писали:

D>Здравствуйте, Lexey, Вы писали:

L>>Только вот thawte этому дяде скорее всего такой сертификат не даст.
D>Это почему же. Если thawte не даст, то в винде лежит еще два десятка СА, можно у них попробовать.

Можно.

L>>Они проверяют, кому дается сертификат.
D>Я же к тому и веду. Какие административные ф-ии выполняют сторонние СА. Как они проверяют кому дается сертификат, что они проверяют — паспорт, фотографируют лицо....

А хрен их знает. Thawte для выдачи мыльного сертификата требует номер паспорта. При этом все равно выдается какой-то "урезанный" сертификат, которому можно доверять только со знаком вопроса. Если хочешь нормальный сертификат, то, afair, они требует чтобы кто-то за тебя поручился. В случае доменных сертификатов они скорее всего в первую очередь проверяют базы регистраторов доменов.

D>Обмениваются ли между собой информацией различные СА, существуют ли по этому поводу какие-то положения.

Тоже хз. Скорее всего обмениваются.

L>>Если даст, то можно тушить свет.
D>О тож. Т.е. реально мы не доверяем сторонним СА
D>Лучше ставить свой СА, и давать сертификат этого своего СА клиенту лично в руки?

Можно и так. WebMoney, например, примерно так и делает.

Здравствуйте, Sinclair, Вы писали:

S>Здравствуйте, Lexey, Вы писали:

L>>Схемка, как схемка. Только вот thawte этому дяде скорее всего такой сертификат не даст. Они проверяют, кому дается сертификат. Если даст, то можно тушить свет.
S>Если дядино лицо было юридическим, то после выключения света оно огребет штраф на, дай бог памяти, то ли 1e5 то ли 1e6 долларов США. А ежели оно было физическим, то всего лишь 1e4 долларов.

Может быть, только этого дядю еще поймать придется. Да и его прибыль может составить много больше.