Подскажите с развёртыванием сертификационного центра (генерация сертификатов для защиты HTTP трафика). Какую серверную ОС лучше использовать – 2000 или 2003 ? Самое главное – можно ли комп. выделенный под Серт.Центр держать изолированно, т.е. не в домене?

я использовал 2003.
не в домене - пожалуйста.
я так понял нужно на IIS https настроить?

Моя задача только развернуть серт. центр (физически изолированного от домена) и нагенерить сертификаты клиентам для защиты почтового траффика. Я так понимаю что первоначально надо выдать сертификат Exchange серверу. Вроде бы он генерится на основании какого-то запроса от IIS ? Ещё есть такое понятие как список отозванных сертификатов - он дожен где распологаться (имею ввиду обязательно на Exchange сервере или на любом ресурсе доступном ему)?
Кстати комп. отведённый под серт.центр обязательно должен быть наделён ролью контроллера домена?

Кстати комп. отведённый под серт.центр обязательно должен быть наделён ролью контроллера домена? »
Кто сказал? бред полный, я же написал не в домене - пожалуйста. Любой комп с 2003 виндой.
в инете полно описаний как установить ЦС (центр сертификато) и IIS. к сожалению, я не имею опыта для создания и внедрения сертифиатов в Exchange.
Вобщем устанвливайте IIS и ЦС, генерите сертификаты, выпускайте их, сохраняйте в файл и импортируйте в Почтовый сервер.

А можно перенести развёрнутый ЦС с одной машины на другую, т.е. с базой выданных сертификатов, списком отзванных и т.д. ?

я не знаю... не пробывал... наверное можно.

Знать бы наверняка. Просто временно дают комп. и если перенос не возможен тогда будут проблемы....
А база выданных сертификатов должна быть доступна почтовому серверу? Или это сугубо информационное хранилище и в аутентификации оно не участвует?

Ещё есть такое понятие как список отозванных сертификатов - он дожен где распологаться (имею ввиду обязательно на Exchange сервере или на любом ресурсе доступном ему)? »вообще-то CRLs (те самые списки) поддерживает и публикует ЦС, например на Web... поэтому если ЦС изолирован - тягать эти списки придется ручками, а без них Exchange работать не будет: White Paper: Domain Security in Exchange 2007 (http://technet.microsoft.com/en-us/library/bb266978.aspx)
Кстати комп. отведённый под серт.центр обязательно должен быть наделён ролью контроллера домена? »как раз наоборот - не должен, из соображений безопасности
А можно перенести развёрнутый ЦС с одной машины на другую, т.е. с базой выданных сертификатов, списком отзванных и т.д. ? »Backup/Restore никто не отменял, главное чтобы сохранить имя хоста: How to move a certification authority to another server (http://support.microsoft.com/kb/298138)

amel27, спасибо. Небольшое уточнение - я спрашивал про развёртывание ЦС от микрософта (сертификат не от сторонней "конторы"). Ответы остаются в силе?
Ещё подскажите. ЦС у меня всё-таки будет изолированным, т.е. машина физически отрублена от сети. Для генерации сертификата для почтового сервера и клиентских машин мне на этих машинах надо предварительно сформировать какой-то запрос в ЦС и реализовать его на выход в виде файла для передачи в ЦС ? Или всё не так? Для реализации 2-х стороннего шифрования при работе с почтой клиентам надо сразу скидывать и "их" сертификат и сертификат сгенерённый для почтового сервера?

я спрашивал про развёртывание ЦС от микрософта (сертификат не от сторонней "конторы"). Ответы остаются в силе? »принципиальной разницы нет
Ещё подскажите »это уже специфика Exchange, причем зависит от версии, почитайте к примеру статьи:
Сертификаты и Exchange (http://www.osp.ru/win2000/2006/07/3546064/)
Как обезопасить почтовый трафик SMTP (http://www.osp.ru/win2000/2003/06/176356/_p1.html)

ЦС у меня всё-таки будет изолированным, т.е. машина физически отрублена от сети. »
Это из-за повышенной секьюрити? Будет очень неудобно, тогда лучше нормальный УЦ создавать на российских криптоалгоритмах :) Файл списка отозванных сертификатов(СОС) *.crl будет регулярно переноситься с ЦС вручную? :)
Для генерации сертификата для почтового сервера и клиентских машин мне на этих машинах надо предварительно сформировать какой-то запрос в ЦС и реализовать его на выход в виде файла для передачи в ЦС ? »
Проще через веб интерфейс ЦС, но если ЦС физически отрублен от сети... можно и на дискетах таскать запросы и выданные сертификаты.
Для реализации шифрования между клиентами, надо установить на клиентах сертификат ЦС, личный сертификат и обменяться открытыми ключами (можно так, клиент1 отосылает тестовое сообщение с цифр. подписью, клиент2 получает и заносит откр. ключ клиента1 в адр. книгу и отправляет в ответ сообщение с цифр. подписью, клиент1 получает сообщение клиента2 и заносит откр. ключ клиента2 в адр. книгу, после этого может откравить зашифр. сообщение клиенту1) Но удобнее, если ЦС будет в домене (и физически - в сети) тогда и winlogon с исп-ем сертификатов организовать (на смарткартах напр.)

можно и на дискетах таскать запросы »
http://localhost/certsrv/Default.asp на сервере с ЦС

А можно генерить сертификаты без запросов ?

http://localhost/certsrv/Default.asp на сервере с ЦС »
всё это замечательно, на localhost будут формироваться запросы и выпускаться сертификаты, как потом сертификаты (с закр. ключем) клиентам отдавать, если не на отчуждаемых носителях(дискетах напр), а "ЦС физически отрублен от сети."?
А можно генерить сертификаты без запросов ? »
как вы это себе представляете? :)

как вы это себе представляете? :) » А что такого? Чисто теоритически это звучит вполне правдоподобно. Насколько я понимаю "запрос" от клиента содержит некую индивидуальную и уникальную для клиента информацию, так почему бы не предположить что вполне допустима обратная картина. Я не жду её от клиента а в случае обладания ею сразу вставляю её в сертификат.
Для реализации шифрования между клиентами, надо установить на клиентах сертификат ЦС, личный сертификат и обменяться открытыми ключами (можно так, клиент1 отосылает тестовое сообщение с цифр. подписью, клиент2 получает и заносит откр. ключ клиента1 в адр. книгу и отправляет в ответ сообщение с цифр. подписью, клиент1 получает сообщение клиента2 и заносит откр. ключ клиента2 в адр. книгу, после этого может откравить зашифр. сообщение клиенту1) Но удобнее, если ЦС будет в домене (и физически - в сети) тогда и winlogon с исп-ем сертификатов организовать (на смарткартах напр.) » Извиняюсь, схема применения сертификатов несколько поменялась (точнее я не сразу въехал что от меня хотят :( ). Вообщем так - есть почтовый сервер, плюс на нём IIS. Сервер доступен сотрудникам нашей фирмы и подключен к Интернету. Необходимо устроить доступ к почте для наших сотрудников по https (т.е.443 порт). Т.е. шифруется канал только между сотрудниками и почтовым сервером. Как на этом сервере сделать запрос на сертификат для ЦС и что надо установить на клиентах (серт.ЦС+личный ?) ?

Я не жду её от клиента а в случае обладания ею сразу вставляю её в сертификат. »
Ну и что, все равно запрос на сертификат формируется, только уже не клиентом, а вами. Или вы хотите после выпуска сертификата изменить данные в сертификате? :)
Как на этом сервере сделать запрос на сертификат для ЦС и что надо установить на клиентах (серт.ЦС+личный ?) ? »
проще - через веб интерфейс ЦС, формируете запррос, получаете сертификат, устанавливаете на IIS, то же самое у клиентов, сертификат пользователя нужно поместить в хранилище личные
Службы сертификации Windows 2000 (http://www.oszone.net/4022/Certificate_Services)

всё это замечательно, на localhost будут формироваться запросы и выпускаться сертификаты, как потом сертификаты (с закр. ключем) клиентам отдавать, если не на отчуждаемых носителях(дискетах напр), а "ЦС физически отрублен от сети."? »
хм... я имел ввиду только запросы сертификатов. про перенос я ничего не сказал. перенос конечно будет на внешнем носителе. у меня, кстати, когда я переносил сертификаты по сети - они при установке ругались непонятными ошибками...

https »
А я о чём спрашивал?
я так понял нужно на IIS https настроить? »

описание настройки HTTPS на IIS (http://www.gotdotnet.ru/Forums/Web/493555.aspx)

когда я переносил сертификаты по сети - они при установке ругались непонятными ошибками... »
корневые сертификаты ЦС и СОС (*.crl) надо тоже переносить и устанавливать, но лучше если эти сертификаты будут доступпны в онлайне по полям в сертификате пользователей CRL Distribution Poin и Authority Info Access

Pili,
у мну была следующая задача: есть два сервера на Solaris, в них нужно установить сертификаты для VPN. ЦС умер через месяц - ибо триальная версия была у криптопровайдера или как там его...
Он-лайн вы имеете ввиду - на ЦС ?

Он-лайн вы имеете ввиду - на ЦС ? »
обычно так и оставляют на ЦС, но это не обязательно (доступ к веб интерфейсу ЦС лучше ограничить), регулярный перенос на какой-либо доступный (лучше корпоративный) веб ресурс (на который есть ссылки по CDP в сертификатах пользователей) корневых сертификатов и crl можно запланировать как задачу с помощью стандартных средств (net use, copy), посмотрите пример тестового УЦ тут (http://www.cryptopro.ru/cryptopro/solutions/ca-for-test.htm)