Как автоматизировать создание pfx сертификатов?

Question

[ssl_lss]

Появилась задача автоматизировать процесс создания pfx сертификатов пользователей из ad. На данный момент ручками,через оснастку тратится много времени (Personal – Certificate (ПКМ) – All Task – Advanced Operations – Enroll On Behalf Of.. Next – Next – Browse итд
Как я понял, это копать в сторону powershell...
P.s Гуглеж вывел на эту статью club.directum.ru/post/791

Приведенная ссылка без ssl сертификата, если что

Есть-ли более изящное решение?

Comments

[akelsey]

А цель какая? PFX то как планируется использовать потом?

[ssl_lss]

akelsey, pfx отправляется пользователям, для авторизации почтового аккаунта Exchange, на мобильных устройствах. Через стандартный gmail

[Sasha Odarchuk]

ssl_lss, подскажите, как вы настроили Exchange что б он без серта не разрешал подключения!

[ssl_lss]

Sasha Odarchuk, Я сообщу вам в ближайшее время, когда уточню у коллег. Exchange не входит в мои обязанности.
Добавлю, что вероятно это не совсем корректно работает. Так-как сейчас я могу обойтись без сертификата, используя альтернативные почтовые программы (На андроиде это - myMail), но в gmail это не выйдет...

В тоже время, нельзя всех пользователей пересадить на этот клиент из-за политики ИБ в компании. Получается такой вот костыль.

[CityCat4]

Sasha Odarchuk, Строится не эксч, строится оутлук. В оутлуке политиками строится в пункте "Файл->Параметры->Центр управления безопасностью->Параметры центра управления безопасностью->Защита электронных писем для пункта: Шифровать содержимое и вложения ... и Добавлять цифровую подпись...
Делается это политиками и политиками же запрещается эти настройки менять. К сожалению юзера кладут даже на табличку "Сертификат недействителен или отсутсвует, ваше письмо прочитано не будет"

[CityCat4]

ssl_lss, Выпускать на локальном компе чрезвычайно опасно. Почтовый сертификат шифрует почту и при его утрате вся эта щифрованная почта превращается в ТЫКВУ!. Поэтому у админа/ИБ-шника всегда должна быть копия файла .p12, который ставится на комп юзера с почтовым сертификатом. Я так никогда не делал, но если данный способ сразу помещает ключ сертификата в хранилище, да еще с пометкой "неэкспортируемый" - это писец. Выход компа из строя, перестановка винды - и все, юзер без почты. Без шансов ее восстановить - хранится-то она в шифрованном виде!

Answer 1

[CityCat4]

Автоматизация выпуска почтовых сертификатов - это правильная и естественная вещь. Но тут надо учесть следующее - прежде чем начинать массовое внедрение:
- у админа/ИБ-шника всегда должна быть копия почтовых сертификатов пользователя (у меня их аж три - и все хранятся в разных местах). Потому что почта хранится (то есть на сервере лежит в таком виде) в шифрованном виде и при утере ключа она превращается в тыкву. Абсолютно без шансов на восстановление
- выпуск почтовых сертификатов соответственно должен быть организован так, чтобы .p12 создавался админом вручную, чтобы была возможность переносить сертификаты с компа на комп, потому что выпуск сертификата на локальном компе помещает ключ сертификата (возможно, я не проверял!) в локальное хранилище сразу, без шансов его оттуда извлечь и любая перестановка винды превращает почту в тыкву.
- сертификаты выпускаются на год, их нужно своевременно перевыпускать. Если планируется использовать внешние программы чтения почты с сертфиикатами (типа MailDroid) - обязательно наличие доступного и действующего CRL, без него расшифровка в MailDroid например может и не пойти.
- возможно такой способ сделать это целиком на винде есть, но мне он неизвестен. Раньше я использовал виндовый CA и это реально была попаболь - создать CSR на линухе, вставить его в веб-интерфейс службы CA на винде, экспортировать сертификат в линух, собрать PKCS#12... С некоторых пор я все это делаю на линухе.

UPD: Пиши, еслиф че. Мыло в профиле. Почтовые сертификаты - тема огого какая.