В общем установка последней версии TB проблему не решило. Поиск говорит что в 2010-2011 годах все работало но затем поддержку выпилили и атрибут userCertificate не поддерживается.
Evolution заработал. Сертификаты из AD погружаются, шифрование работает.
Спасибо за информацию.
Сейчас PKI основан на MS ADCS и задача как раз и стоит обеспечить возможность шифрования в переходный период когда рабочие места смешанные (MS/Linux - TB/Outlook) и используются существующие смарт карты.
Буду пробовать дальше, поскольку судя по всему они эту задачу (загрузка сертификатов из AD) рассматривали и это даже в старых версиях работало.
И еще вопрос. А все вышеизложенное касается только AD ? Если к примеру вводится еще одна служба каталогов, к примеру Samba, содержащая атрибут userCertificate что то меняется ?
Нет это просто особенность ОС Windows. Он берет закрытый ключ и (или) сертификат из локальных хранилищ рабочей станции. Правда это все работает только с продуктами которые используют MS cryptoapi. Если на сервере c ОС Windows установлен продукт который не использует этот механизм (скажем Nginx) то он не сможет работать с локальным хранилищем и будет использовать ключ/сертификат расположенными на ФС.
Через процедуру импорта PFX (pkcs12) контейнера. Если закрытый ключ и запрос формировался на Linux, сформировать контейнер можно при помощи openssl pkcs12
Из всего списка только EJBCA и DogTag PKI подходят для крупной организации. EJBCA посерьезней, но лицензии не продадут и придется использовать CE а это минус поддержка HSM, ACME и т.п. Так что остается dogtag pki в котором все это есть в коробке.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
