Как настроить подчиненный центр сертификации Windows AD, если корневой центр сертификации на Linux openssl (easyrsa)?

Question

[Logout_90]

Господа, доброго времени суток!
Посетила идея настроить выдачу сертификатов для пользователей и устройств в сети. Поскольку используется AD, было принято решение о поднятии служб сертификации Windows.
В целях экономии, хочется, чтобы сертификат корневого сервера сертификации был сгенерирован openssl (пользуюсь easyrsa).
Итак, в файле vars из комплекта easyrsa менял следующее:

set_var EASYRSA_DN      "org"
set_var EASYRSA_DIGEST          "sha512"

Соответственно, алгоритм остается rsa, используется sha512 и "традиционный" формат CN
Делаю pki-init, следом build-ca, импортирую открытый сертификат в доверенные корневые центры сертификации Windows.
Затем устанавливаю роль служб сертификации, делаю запрос на выпуск сертификата. Запрос копирую на сервер с easyrsa и выпускаю сертификат для подчиненного сервера сертификации Windows.
Однако, при попытке импорта сертификата через утилиту центра сертификации, мне сообщается следующее: "этот сертификат не является сертификатом центра сертификации".

Кажется, что центру сертификации не нравится формат сертификата. Отсюда вопрос: Как можно выпустить сертификат средствами openssl, желательно в обвязке easyrsa, чтобы центр сертификации был удовлетворен?

Comments

[mureevms]

В каком формате отдаете на WS? Припоминаю, что они могут только в *.pem.

[Logout_90]

pem и есть. Только расширение у файла crt. Вообще, недавно наткнулся на статью, где расписано про УЦ на Linux. pki-tutorial.readthedocs.org/en/latest/simple/inde...
Немного поигравшись с полями сертификата, получил вполне работоспособный вариант.

Answer 1

[CityCat4]

Насчет easyrsa ничего не скажу, но сертификат УЦ должен иметь специальный признак того, что это сертификат УЦ. Желание создать УЦ, потом выпустить суб-УЦ и уже от его имени выдавать сертификаты в винде в принципе имеет место быть. Когда в сети есть винда и не-винда, есть например микротики, d-link-и еще какие-то устройства... Пользователям опять же проще генерить сертификаты на openssl. Но это если понимать что делать - там не нужна будет никакая easyrsa.
Если же нужна просто служба сертификатов для винды - то не занимайтесь вытягиванием себя из болота за волосы - запускайте службу и пусть она сама сгенерит корневой сертификат УЦ. Правда, сразу нужно учесть, что без дополнительного шаблона PKCS#12 для пользователя никак не свернуть - можно получить только сертификат заполненный данными на основе AD и только на одном компе.
Для выпуска же сертификата УЦ средствами openssl в openssl.cnf должна быть секция

[ v3_ca ]
basicConstraints = CA:true

и при выпуске сертификата с указанием этой секции в качестве расширения он становится сертификатом УЦ.

Comments

[Logout_90]

Спасибо за помощь! Действительно, easyrsa в данном случае только помешала. Помог Ваш совет и сверка полей сертификата, сгенеренного openssl с виндовым. После добавления информации, которую ожидает винда, в сертификат, все завелось!