Центр сертификации в ВИН2003

[---nebo---]

Установил центр сертификации. Создал сертификат. В настройках IIS установил Безопасность каталога - Безопасное подключение - Использование даного сертификата. Насколько я понимаю я выдал сертификат своему веб серверу.
Теперь при подключении через https://server_name должен использоваться даный сертификат. В настройках ИИС - Безопасное соединение - есть след. пункт Сертификаты клиентов: игнорировать
принимать
требовать

С настройками игнорировать и принимать все работает, хотя ругается что сертификат веб серверу выдал не авторизированый сертификацыонный сервер,
при выборе - требовать - веб сервер требует от браузера клиента сертификат, и я так понимаю снова таки от авторизированного сервера(их список например в Опере можна посмотреть Инструменты-Настройки$-Дополнительно-Безопасность-Управление сертификатами).

Вопрос как получить браузеру сертификат?
Как раздать сертификаты клиентам моим центром сертификации?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zg]

никак, только использовать авторизованный центр выдачи сертификатов. В лисе можно галку поставить "всегда принимать этот сертификат" и спрашивать он ничё больше не будет.

[---nebo---]

тогда главная функция центра сертификации - выдача сертификата веб серверу для работы по протоколу https?
будет ли проходить работа по протоколу https клиента(веб браузера) и веб сервера, если у веб сервера будет сертификат выданый локальным центром сертификации, а у клиента сертификата не будет вообще?

какие еще функции возлогаються на центр сертификации или как еще в целях безопасности его можно использовать?

[zg]

тогда главная функция центра сертификации - выдача сертификата веб серверу для работы по протоколу https?

не серверу а тебе, организации, фирме и т.д. Но в общем и целом да, он просто за тебя ручается, что ты не мошенник и используешь https в правильных целях.

будет ли проходить работа по протоколу https клиента(веб браузера) и веб сервера, если у веб сервера будет сертификат выданый локальным центром сертификации

будет конечно, особенно если у клиента стоит галка доверять таким сертификатам. По умолчанию все браузеры просто дают такое предупреждение, чтобы пользователь знал, что https ведёт его на неизвестный сервер. Это западная логика - всё что не сертифицированно есть зло. В России этим мало кто парится

какие еще функции возлогаються на центр сертификации или как еще в целях безопасности его можно использовать?

гм.. центр сертификации просто подписывает сертификат безопасности и всё. А чего он ещё должен делать?

[---nebo---]

Ну мало ли... Целая оснастка Центр сертификации.

Спасибо за помощь

[Nix86]

Установил центр сертификации. Создал сертификат. В настройках IIS установил Безопасность каталога - Безопасное подключение - Использование даного сертификата. Насколько я понимаю я выдал сертификат своему веб серверу.
Теперь при подключении через https://server_name должен использоваться даный сертификат. В настройках ИИС - Безопасное соединение - есть след. пункт Сертификаты клиентов: игнорировать
принимать
требовать

С настройками игнорировать и принимать все работает, хотя ругается что сертификат веб серверу выдал не авторизированый сертификацыонный сервер,
при выборе - требовать - веб сервер требует от браузера клиента сертификат, и я так понимаю снова таки от авторизированного сервера(их список например в Опере можна посмотреть Инструменты-Настройки$-Дополнительно-Безопасность-Управление сертификатами).

Вопрос как получить браузеру сертификат?
Как раздать сертификаты клиентам моим центром сертификации?

Нужно просто создать пользовательские сертификаты точно также как ты создал серверный сертификат. Они будут отличаться OIDом. После этого на стороне клиента сертификат надо будет установить. А для того, чтобы он работал(и для того, чтобы браузер не ругался на сертификат, в случае, когда клиентские не используются) необходимо установить корневой сертификат твоего удостоверяющего центра. Кроме того серверный сертификат должен быть обязательно выпущен на имя твоего сервера (например www.company.ru, mail.company.ru, etc... или как обобщенный вариант допускается *.company.ru) иначе он будет не верен.

[Nix86]

+ ещё забыл написать, что пользовательские сертификаты не будут действительны, если в системе не будет списка отозванных сертификатов. Для удобства в сертификаты X.509 можно включать точки распространения этих списков (CDP), а сами списки выкладывать на открытый ресурс (http:// или smb) тогда списки будут выкачиваться и устанавливаться в систему автоматически при использовании сертификата. Также в сертификат можно и путь к корневому сертификату включать, автоматически устанавливаться не будет, но установка становится несколько проще.