Pili,
я на ЦС выпустил СА, нагенерил 100000000 сертификатов и сервер с ЦС - форматнул.
да, дальше ручками... но что поделаешь...

Начинаю разворачивать ЦС. Полезли вопросы - при установке ЦС (под 2003) есть параметр СРОК ДЕЙСТВИЯ КОРНЕВОГО СЕРТИФИКАТА. По умолчанию 5 лет. Через 5 лет его можно просто "продлить" или придётся перегенерить ? И чем продление (если это всё-таки "продление") чревато для выданных сертификтов?
Что такое имя ЦС понятно, а что такое ИЗМЕНЯЕМЫЙ СУФФИКС ИМЕНИ и для чего он нужен?

Vi-P,
если не сложно скрин по второму вопросу?
а срок, если будете продливать то этот ЦС должен быть и через 5 лет. если снесёте - то ппц. но имхо.
а вам, что 5 лет мало? попробуйте 10 поставить...

если не сложно скрин по второму вопросу » прикрепил

Vi-P, это доменное имя твоего ЦС, также как сайты, напр. ca.name.ru, соответственно желательно чтобы по этому имени ЦС отзывался, в dns можно внести соответствующую запись. Веб интерфейс для это цс будет http://ca.name.ru/certsrv

прикрепил »
да я его пустым оставлял...

это доменное имя твоего ЦС » Я так понимаю, что посколько ЦС у меня физически изолирован от сети, то данное имя можно и не задавать?

описание настройки HTTPS на IIS »
Vi-P, вы читали статью ? http://www.gotdotnet.ru/Forums/Web/493555.aspx

Vi-P, лучше задать, если вы хотите придерживаться стандартов

вы читали статью ? http://www.gotdotnet.ru/Forums/Web/493555.aspx » Да, читал. Очень хорошая статья. По ней кстати вопрос есть - когда я генерю сертификат для почтового сервера мне, согласно этой статьи и вобще логики создания сертификатов, надо при создании сертификата выбрать Шаблон сертификата -> Web Server. Но у меня просто нет такой опции Шаблон сертификата в отображаемом интерфейсе! Где можно указать тип шаблона ?

лучше задать, если вы хотите придерживаться стандартов » А если сервер не наделён ролью контроллера домена и физически отрублен от сети то что там писать? Если пишу NetBIOS имя компа, ругается на недопустимость такого имени (никаких спецсимволов в имени нет, т.е. ЦС не устраивает что-то другое).

Где можно указать тип шаблона »
что-то не припомню...
сети то что там писать »
да ничего там не пишите...

Vi-P, надо писать не netbios, а dns имя, напр. netbiosname.domainname.ru, в файл hosts можно внести соответствие этого имени ip адресу (а лучше во внешний DNS). Имхо, будут очень большие неудобства, если ЦС не будет подключен к сети, crl придется обновлять вручную периодически переносить внешний ресурс, доступный пользователям (и туда же положить crt)
почитайте Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure (http://technet2.microsoft.com/windowsserver/en/library/091cda67-79ec-481d-8a96-03e0be7374ed1033.mspx?mfr=true)
и Службы сертификации (http://technet2.microsoft.com/windowsserver/ru/library/20726e13-5794-4e1f-84bc-f478e0e41cab1049.mspx?mfr=true)

будут очень большие неудобства, если ЦС не будет подключен к сети, crl придется обновлять вручную периодически переносить внешний ресурс, доступный пользователям (и туда же положить crt) » Согласен, это неудобно. Но решение руководства ЦС изолировать. Так что буду таскать ручками.
А как же всё-таки на ЦС добраться до шаблонов сертификатов?

Шаблоны сертификатов (http://technet2.microsoft.com/windowsserver/ru/library/66ec2df7-c3a1-4307-a71c-3b4b95e77d411049.mspx?mfr=true)

Шаблоны сертификатов » Спасибо, статья несколько расширила (чуть не написал расшарила :) ) диапазон знаний. Но вопрос по прежнему остаётся - как добраться до этих шаблонов на ЦС? Откуда ими управлять? Или если сервер изолирован они недоступны, т.е. по умолчанию лепится каго-то одного формата и всё?

Vi-P, вся инф-ия есть по тем ссылкам, которые я давал ранее, почитайте ещё раз о оснастке "Шаблоны сертификатов" certtmpl.msc

ещё раз о оснастке "Шаблоны сертификатов" certtmpl.msc » После изучения и практики становится понятно что играться с шаблонами в изолированном ЦС похоже не получится. Данная служба работает с доменом, точнее с AD. По крайней мере у меня не получилось.

Vi-P, правильно :) шаблоны в изолированном ЦС не используются, зачем они вам, если ЦС не в AD? Типы сертификатов при формировании сертификтов и так доступны, я приводил ссылку на тестовый ЦС (http://www.cryptopro.ru/certsrv/), могли и посмотреть (только там для формирования сертификата cryptopro нужен, можно скачать тут (http://www.crypto-pro.ru/cryptopro/download/default.asp) 30 дней без лицензии работать будет)

Скажите, а каковы пути формирования запросов на сертификат для пользователя? Это можно сделать только через веб-интерфейс ЦС или и пользователь может на любой машине у себя сформировать запрос на сертификат в виде файла, который потом пошлёт в ЦС для генерации сертификата?

В литературе упоминается что изменить срок службы выдаваемых пользовательских сертификатов можно через реестр (а не только через переустановку ЦС :) ). Не подскажете нужные разделы реестра?

Немного вклинюсь в тему: поднял ЦС, настроил, все работает..но только под XP как с IE6, так и с IE7
На Висте не работает. Захожу на страницу выдачи сертификатов, загружается страница, но висит "Загрузка элемента ActiveX"

Подскажите, где копать: на висте что-то настроить или на серваке какой-то фикс для висты нужен?

Сорьки, уже нашел... http://support.microsoft.com/?kbid=922706