Tengo una situación única en la que necesito implementar autenticación de certificado de cliente a través de HTTPS entre el navegador IE e IIS 6. El navegador y IIS están separados por un firewall que solo permite que el navegador se conecte a IIS en el puerto SSL.¿Cómo generar un certificado de cliente SSL desde una red desconectada?
Tenemos un servidor de certificados interno en la misma red que IIS. He generado un certificado de servidor SSL para IIS y está instalado. Configuré IIS para que solo permita SSL, requiera certificados de cliente.
La limitación aquí es que la máquina del navegador está en una red desconectada, por lo que no puedo ir a la URL de la CA http://caserver/CertSrv y request a client cert como lo haría normalmente.
Pensé que si hubiera una manera de que yo pudiera generar una CSR contra la clave pública de la CA raíz, puedo copiarla en el servidor CA para generar el certificado del cliente. Sin embargo, parece que no hay ninguna disposición en IE o Certificates MMC para hacer esto. El certificado MMC parece requerir una conexión directa a la CA.
¿Alguien ha resuelto esto antes? plazo
su información, todos los servidores de referencia de Windows Server 2003.
Actualización: Gracias a Jonas Oberschweiber y Mark Sutton para señalar la herramienta de línea de comandos Certreq.exe. Al usar esto, he generado una CSR y, en consecuencia, un certificado de cliente que se instala con éxito. Sin embargo, IE aparentemente no está enviando este certificado de cliente al acceder al servidor IIS en cuestión; todavía genera un 403.7 "Prohibido: se requiere certificado de cliente SSL". Sospecho que la razón es que el campo Asunto del certificado del cliente no coincide con el ID de usuario de la cuenta que ejecuta IE, por lo que quizás no envíe un certificado de cliente que no coincida. El Asunto coincide con el del usuario que solía enviar el CSR y genera el certificado del cliente en el otro extremo del firewall.
¿El campo Asunto es importante? ¿Hay algo más que deba hacer para permitir que IE envíe este certificado?
Me temo que esto no es lo que estaba pidiendo. Copiar sobre la cadena de cert de Root CA es trivial. Necesito generar un certificado de cliente para la computadora desconectada. – spoulson