Certyfikaty, Certsrv, Store Certificate..

Co jakiś czas na WSS przewija się wątek w stylu ‚Nie mam opcji Store certificate in local computer store’ lub ‚Na Viscie nie działa Certsrv z W2K3’ Spróbuje to troche ugruntować by rozwiać wszelkie wątpliwości, może nawet ktoś to przeczyta ;) W sumie pisałem juz troche o tym wcześniej ale nie bezpośrednio, albo nikt tego nie czytał co bardziej prawdopodobne.

Jak powszechnie wiadomo certsrv z W2K3 na Viscie nie działa. Przynajmniej nie odrazu. Aby to zaczeło działać jak trzeba niezbędna jest poprawka KB922706. Poprawke można instalować w locie, nie wymaga restartów systemu itp. Jedyne co ma moment przestanie działać to certsrv. Pechowo po instalacji zawartośc certsrv w skrócie jest podmieniana na tą z W2K8. Pech znów chciał, że w W2K8 opcji ‚Store Certificate in Local Computer Store’ nie ma. Szukałem dość sporo czemu jej tam nie ma i w sumie to jedyny powód jaki przychodzi mi do głowy jest taki:  W Viscie IE nie korzysta z konta administratora, a opcja, o którą się rozchodzi takowych wymaga, wiec ludzie z MS postanowili ją chyba w ogóle usunąc z certsrv pod W2K8.

Jaki jest tego efekt: Nie da się już wygenerować certyfikatu komputera korzystajac z certsrv. Jak obejśc ten problem, no cóż sa dwa rozwiązania oba w polskich realiach cięzkie do zaakceptowania, pechowo przyjmie się pewnie to drugie:

1. Porządnie. Zapomnieć o certsrv i korzystać z AD do dystrybucji certyfikatów, tylko wtedy trzeba mieć całkiem niezłą infrastrukturę no i firmowe laptopy dla użytkowników, którzy np chcieli by się łączyć do firmy po sensownie zabezpieczonym VPN-ie. W małych firmach to nie przejdzie i tu trzeba sie troche zastanowić czy nie lepiej (taniej) będzie zestawić PPTP, kwestia oceny ryzyka itp.

2. Byle osiągnąć cel. Generować certyfikaty samemu poprzez schemat offline router. I dystrybuować je w jakiś bezpieczny sposób (żaden nie przychodzi mi do głowy) użytkownikom. Bo w końcu kto zabroni userowi zainstalować sobie ten certyfikat gdziekolwiek albo go zgubić/wyexportować itp.

Warto jeszcze dodać ze do obu tych manewrów trzeba W2K3/W2K8 w wersjach Enterprise.