Как создать ssl сертификат на CA Windows 2012?

Question

[Z-RoVeR]

Есть CA на Windows 2012 R2
Есть машина на Ubuntu с веб-мордой типа https://compname.mydomain.local
Как выписать SSL сертификат чтобы все машины в домене доверяли ему и заходили на веб морду по https и не выходила ошибка "Ваше подключение не защищено"
Пробовал так:
New-SelfSignedCertificate -DnsName compname.mydomain.local -CertStoreLocation cert:\LocalMachine\My
А потом экспортировал:
Export-Certificate -Cert cert:\LocalMachine\My\D9B86****************** -FilePath C:\*.cer

Answer 1

[Вадим Чопоров]

Если не знаете, как обратиться напрямую к CA, проще сформировать на бубунте реквест на серт, в соответсвие с требуемыми параметрами в подходящем шаблоне на CA. Передайте сформированный файл реквеста не CA, там оформите сертификат (к примеру через certreq), и верните готовый серт на бубунту. Установите и радуйтесь жизни. Если конечно у вас CA не для красоты, а его корневой у вас опубликован в AD или распихивается в корневые политиками.

Comments

[Z-RoVeR]

А можно поподробнее начиная со стадии после формирования на бубунте реквеста на серт? Я так понимаю он появится в папке "Запросы на ожидание"?

[Вадим Чопоров]

На CA заходим в certmgr.msc смотрим, какие шаблоны доступны для выдачи, заходим в управление шаблонами, смотрим, какие параметры в нужном вам (в стандартных шаблонах, в управлении даже есть дефолтно сконфигурированный для web-server'а, можете с него снять копию для себя отредактировать, или его и используйте). В бубунте с помощью openssl формируете запрос на сертификат и копируете файл запроса на CA. Сформированный запрос с бубунты кидаете на этот сервер, и выдаете серт, согласно запросу, пример команды для выдачи серта по запросу:
certreq -submit -attrib "CertificateTemplate:"
выбираете ваш запрос, указываете куда положить серт, и переносите его на бубунту.

[Z-RoVeR]

Вадим Чопоров, Спасибо, я уже сам сделал через CA)

Answer 2

[Sergey IT]

Чтобы локально не было ошибки нужно как минимум добавить ваш созданный сертификат в доверенную зону через оснастку mmc - сертификаты, на каждом ПК с которого вы хотите подключаться. Или раскидать его через GPO на все машины.

P.S. делать домен формата - mydomain.local - моветон

Comments

[Z-RoVeR]

Серт можно раскидать политикой

[Sergey IT]

Z-RoVeR, само собой

[Кот Абсолютный]

делать домен формата - mydomain.local - моветон

Упс, почему? У нас так сделано (не мной, некими чудаками до меня, задооооолго до меня...)

[chupasaurus]

CityCat4, история болезни

[Кот Абсолютный]

chupasaurus, спасибо за ссылку. Слава Богу, для нас неактуально :) Огрызков у нас нет из-за фатальной ненависти руководства, zeroconf не используется, mDNS тоже не используется. Вряд ли тот человек, который это придумал, знал что имя ".local" оказывается-то занято :DDD

[chupasaurus]

CityCat4, RFC начала 2013 года, подозреваю, что вам досталась инфраструктура постарше.

[Кот Абсолютный]

chupasaurus, По одним данным - 2007 год, по другим - 2010.

[chupasaurus]

CityCat4, В 2007 - RFC "Link-Local Multicast Name Resolution (LLMNR)" [RFC4795], который похож, но не то (пересказываю Appendix H из RFC6762).
RFC по HTTP/2 до сих пор не утверждён и пребывает драфтом.

Answer 3

[Кот Абсолютный]

Сертификат CA уже должен быть в доверенных - он автоматически пихается туда политикой, но разумеется это нужно проверить.
Выпустить сертификат для веб-сервера можно по щаблону "Веб-сервер". Вот где сгенерить запрос для передачи в CA в винде - это не подскажу, потому что все время генерю CSR на линухе