Certificados Digitales IIS

erwinrp · #1 (**permalink**) 06/03/2006, 10:01

Saludos, tengo una consulta configure un servidor como CA, para dar y verificar certificados digitales a los navegadores clientes.

Esta sobre IIS, pero IIS maneja los certificados mediante un sitio para solicitarlos y para instalarlos, yo quisiera enviarle los certificados a los clientes por correo electronico, entonces estoy buscando el lugar donde almacena los certificados, pero al parecer los guarda en una base de datos interna y los genera dinamicamente cuando se instalan en el cliente

Aclaro no es Certificado del servidor, son los que entrego a los clientes

Enriquez · #2 (**permalink**) 06/03/2006, 11:14

Cuando un usuario entra en el certsrv de tu CA, es su navegador el que genera la pareja de claves y la petición del certificado, no tu servidor. Tu servidor solo firma la petición de certificado, que por supuesto no tiene la clave privada y por lo tanto es inútil sin ella.
Lo que quieres hacer es sacarte tu los certificados de los usuarios (romper la cadena PKI, ya que existirá repudio al existir otra persona con acceso a la clave privada, tu), y mandárselos por correo. Para eso tienes que pedir los certificados con la clave privada marcada como exportable, en opciones avanzadas. Después exportar los certificados a archivos desde el navegador, y mandárselos, uno por uno. Recuerda que también tienes que mandarles el raiz.

trasgukabi · #3 (**permalink**) 06/03/2006, 12:32

Enriquez, muy bueno el enlace sobre certificados de tu firma,
Éste

Enriquez · #4 (**permalink**) 06/03/2006, 12:53

Gracias, lo tengo que actualizar un poco, que hace tiempo que no lo toco, es un placer poder ser útil en algo ;)

Un saludo

erwinrp · #5 (**permalink**) 06/03/2006, 14:04

Cita:

Iniciado por Enriquez

Cuando un usuario entra en el certsrv de tu CA, es su navegador el que genera la pareja de claves y la petición del certificado, no tu servidor. Tu servidor solo firma la petición de certificado, que por supuesto no tiene la clave privada y por lo tanto es inútil sin ella.
Lo que quieres hacer es sacarte tu los certificados de los usuarios (romper la cadena PKI, ya que existirá repudio al existir otra persona con acceso a la clave privada, tu), y mandárselos por correo. Para eso tienes que pedir los certificados con la clave privada marcada como exportable, en opciones avanzadas. Después exportar los certificados a archivos desde el navegador, y mandárselos, uno por uno. Recuerda que también tienes que mandarles el raiz.

no me has entendido, yo quiero que el usuario entre al sitio certsrv de mi CA, y que solicite el certificado, pero que al yo autorizarlo, se lo envío por email y que lo pueda instalar en su navegador

Enriquez · #6 (**permalink**) 07/03/2006, 01:38

Aunque lo normal es que el usuario vuelva a entrar en certsrv y mire en peticiones pendientes para que se le instale el certificado, si lo quieres hacer así, entra en "Entidad emisora de certificados", y en certificados emitidos doble click en cada certificado y guardar en archivo.

erwinrp · #7 (**permalink**) 08/03/2006, 21:26

Cita:

Iniciado por Enriquez

Aunque lo normal es que el usuario vuelva a entrar en certsrv y mire en peticiones pendientes para que se le instale el certificado, si lo quieres hacer así, entra en "Entidad emisora de certificados", y en certificados emitidos doble click en cada certificado y guardar en archivo.

no lo hace solo te da un previo del certificado, pero ya lo solucione, utilizo el link ke genera en el certsrv