Yvision.kzYvision.kz
kk
Разное
Разное
399 772 постов41 подписчиков
Всяко-разно
0
09:53, 11 января 2010

Подача запроса на сертификат с помощью certreq.exe (например в НУЦ)

 

Вроде простая задача - подать заявку на сертификат не имея доступа к нему, с помощью файла запроса. Как выяснилось это еще та камасутра :)

 

 

итак - процедуру запроса с помощью openssl не рассматриваю, красноглазики и так все знают :) будем делать с помощью windows и утилиты certreq.

Создаем inf файл с данными запроса.

Наиболее важные места выделены

Blog post image

[NewRequest]
Subject = "CN=DNS_имя_сервера,O=Организация,C=KZ,E=info@contoso.dom"
KeySpec = 1
KeyLength = 1024
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2

После создания inf файла надо выполнить команду

certreq -New файл.inf файл.req - указав полные пути к файлам. Например так

certreq -New c:\request.inf c:\request.req

Blog post image

после этого на диске C появится файл request.req тело которого и представляет то что надо вставить в окно запроса.Причем вставить именно то что выделенно

Blog post image

после всех формальностей с подачей запроса и одобрением запроса, получаете файл файл.cer (ОБЯЗАТЕЛЬНО кодированный в Base64 формате). Для того, чтобы получить SSL необходим ключ сертификата, его получаем одобряя сертификат

Blog post image

certreq -Accept файл.cer

- после этого файл должен появится в хранилище локального компьютера и у него должен быть закрытый ключ. Теперь можно смело делать SSL

Blog post image

Собственно все...

Не секрет, что у нас есть НУЦ (национальный удостоверяющий центр) - контора которая выдает сертификаты юридическим, физическим лицам. Но кроме это он еще выдает и SSL сертификаты для систем - можно попробовать подать заявку на SSL сертификат туда :)

 

собственно выдача производится после подачи заявки с сайта https://ind.pki.kz/webra

только вот проблема в том, что там надо вставлять уже готовый запрос в формате PKCS10. Но вот как его сделать они не пишут. Я понимаю, что у нас куда не плюнь везде it гуру сидит, но все таки надо быть проще :)

Перво-наперво надо импортировать корневой сертификат НУЦ формата RSA после этого создать inf файл с данными запроса - насколько я понял НУЦ важно только поле Subject, а все остальное они выдают согласно своим политикам. Остальное все как написано выше, кроме того, что можно убрать почти все из файла inf и оставить только минимально необходимые поля.Примерно так

 

 

 

0
10443
0