Ответы пользователя по тегу IIS
  • Как подключить несколько сертификатов на 1 сайт iis 7.5?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Если я чешу в затылке - не беда!
    Нельзя. Для того, чтобы сетификат был валидным на несколько имен - нужно заказывать SAN-сертификат. LE вроде как умеет (не проверял), а вообще они довольно дорогие. Ну а самодельный понятное дело можно вообще каким угодно сделать.
    Можно только при условии, что разные сертификаты будут привязаны на разные порты, то есть на один порт можно только один сертификат.
    Ответ написан
  • Как использовать один сертификат на apache, iis и exchange?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Если я чешу в затылке - не беда!
    При заказе SAN/UCC сертификата нужно не забыть заложить в него имена, нужные эксчу, в особенности autodiscover :) Как достать ключ? Не знаю, возможно что и никак, если винда при генерации запроса не дает пометить ключ экспортируемым. При наличии ключа и наличии в SAN/UCC всех имен, с которыми будет использоваться, можно использовать где угодно.
    Ответ написан
  • Как выдать удостоверяющие сертификаты в локальной сети для внутренних сервисов в IIS (не self-signed)?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Нет понятия "IIS сертификат". Есть SSL-сертификат, который некто создает. Цепочка всегда одна и та же - есть или создается CA, сертификат которого копируется на все машины в хранилище доверенных корневых сертификатов - Вам придется это делать вручную, если бы был домен, это делается политиками.
    После этого создаются запросы на сертификаты и выпускаются сами сертификаты. Вам - только колхозить на OpenSSL для Windows, если бы был домен, можно было бы службу поднять. Это не исключило бы необходимость колхоза, но значительно бы снизило его сложность.
    - должен ли этот сервер иметь свой собственный сертификат для подписи тех, что он выдает другим серверам?

    Да, конечно. Вам - колхозить его руками, при наличии домена он генерится автоматом
    - если его надо сначала будет скопировать на все клиентские машины,

    Надо. Причем не просто так скопировать, а установить в хранилище доверенных корневых сертификатов
    Или я могу использовать любой свой с Let's Encrypt и от него далее по цепочке генерить дочерние?

    Нет. Ни один мировой CA не даст Вам сертификата subCA
    - должен ли PKI сервис быть все время запущен, чтоб с других машин браузеры могли бы запрашивать его на валидность внутренних сертификатов?

    Вообще такая штука есть, OCSP называется, но это не про Вас. Если Вам край как нужна валидность - вставляйте CDP и выкладывайте CRL
    - будет ли выданный PKI сертификат выдан на имя сервера в интранет (например: SERVER001 или SERVER001.local)?

    Как напишете, так и будет.
    Ответ написан
  • На сколько безопасен IIS8 + AD Certificate Mapping?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    "безопасность IIS" - это по-моему тема для анекдотов :) Хотите попробовать его в роли "большой красной кнопки"? Да еще файлопомойку через него расшарить? Ну-ну. Безумство храбрых - вот мудрость жизни...
    Ответ написан