Certificaat error.

Pagina: 1
Acties:

  • hp197
  • Registratie: Juni 2006
  • Laatst online: 01-02 16:54
Hey hey.


Weet er iemand misschien een oplossing voor mijn certificaat probleem?

Wij zijn bezig om ssl certificaten te installeren voor een groot netwerk (500+ users)
En nou hebben 2 van de gebruikers problemen met het instaleren van het certificaat.
Rare is, dat alle andere users er geen problemen mee hebben, terwijl ze allemaal dezelfde hardware / software configuratie hebben.

Alle computers zitten ingesloten in een active directory domein. En als ik inlog onder een andere gebruiker op 1 van de 2 pc's, dan kan ik de certificaten wel installeren. Als de 2 gebruikers op een andere computer inloggen kunnen ze de certificaat ook niet installen.

Je zou denken dat het policy's zijn, rare is alleen dat alle users aangemaakt zijn aan de hand van een template, alle users zijn dus exact hetzelfde.

De error die ik krijg iop de accounts is: "An internal error occurred. The private key that you are importing might require a cryptographic service provider that is not installed on your system."

De software draaiend op de clients is windows 2000.

Heeft iemand dit eerder gehad? Of weet er iemand een oplossing.
Zou je die dan met ons willen delen.

Bij voorbaat dank :)
HP

  • Equator
  • Registratie: April 2001
  • Laatst online: 16:59

Equator

Crew Council

#whisky #barista

Welkom op Got hp197 :)

Wat voor certificaten probeer je te installeren :? Computer certificaten, Client certificaten.
Zijn dit de certificaten van de gebruikers zelf waar het fout mee gaat.

Bevatten de Distinguished Name velden misschien niet toe gelaten characters.

Mag een Admin het certificaat wel installeren..

Dat zijn even snel een paar vragen.. Misschien komen we er verder mee..

Overigens hoef je niet te groeten op GoT, want tweakers groeten elkaar per default ;)

[ Voor 11% gewijzigd door Equator op 13-06-2006 10:29 ]


  • hp197
  • Registratie: Juni 2006
  • Laatst online: 01-02 16:54
Wat voor certificaten probeer je te installeren :? Computer certificaten, Client certificaten.
Zijn dit de certificaten van de gebruikers zelf waar het fout mee gaat.
Het zijn ssl certificaten voor een website, gegenereert per user. client dus ;)
Bevatten de Distinguished Name velden misschien niet toe gelaten characters.
Van de A:D? Nee, ze gebruiken normale tekens in hun naam velden.
Maar de certificaten zijn (en komen) ook niet van de A:D server af. En staan verders ook helemaal niet in verband daarmee. Voorbeeldje van een certificaat zoals ze er nu uit zien:


E = xxx@xxx.nl (<<< email adres)
CN = xxx.xxx.xxx.xxx (<<< client user ip adres)
OU = private
O = Datam Struct
S = The Netherlands
C = NL

(natuurlijk zijn de gegevens een beetje geweizigd, maar dit is de opbouw zegmaar)

Ook geen gekke tekens in de certificaat sleutel(s).
Mag een Admin het certificaat wel installeren..
Ja, en wij kunnen ze ook gewoon installen. Users ook, op 2 na dan })
Maar wij kunnen niet de user certificaten installen. (niet voor ons eigen, maar ook niet voor de user)
Dit omdat de certificaten on-the-fly worden gemaakt, en omdat ze ip specefiek zijn.
Dat zijn even snel een paar vragen.. Misschien komen we er verder mee..
Laat ik het hopen :)
Dan is er bij mij iniedergeval 1 kopzorg minder.....


Overigens, als ik inlog als desbetreffende gebruiker. En ik installeer het certificaat d.m.v. het in de certificaten directory te zetten. Dan komen ze wel op in de lijst van certificaten bij internet explorer, maar als ik met het certificaat dan probeer in te loggen op de website, dan stuurt hij niet het certificaat mee. Als ik in de logs kijk van mijn webserver, dan vind ik daarover niks terug over certificaten bij die aanvraag. En ook de cookie die erbij hoort word niet geset.

[ Voor 10% gewijzigd door hp197 op 13-06-2006 13:46 ]


  • Equator
  • Registratie: April 2001
  • Laatst online: 16:59

Equator

Crew Council

#whisky #barista

Ik begrijp uit je verhaal dat je dus een SSL Website hebt draaien, en dat je vereist Client authentication door middel van het tonen van Client certificaten. No problem so far

Waarom heb je als Common Name een IP adres staan :?
Waarom zijn certificaten IP adres specifiek :?

Hoe laat je de certificaten nu genereren..

  • hp197
  • Registratie: Juni 2006
  • Laatst online: 01-02 16:54
We hebben er niet specefiek voor gekozen om de common name ip specifiek te maken, maar omdat de certificaten buiten het domein gemaakt worden. Was het op dat moment de beste en de snelste oplossing. In de certificaatverlener eigenschappen staat staat overigens wel de naam bij common name.
Wat ik hierboven gepost heb, was het kopje onderwerp.

De certificaten worden gegenereerd door een linux (Slackware) machine op afstand. Dezelfde als waar de webserver op draait.

[ Voor 20% gewijzigd door hp197 op 14-06-2006 15:46 ]


  • Equator
  • Registratie: April 2001
  • Laatst online: 16:59

Equator

Crew Council

#whisky #barista

Maar bij het genereren van certificaten op OpenSSL moet je zelf een Common Name opgeven.. IP adressen zijn niet user specifiek, maar meer computer specifiek, en dan ook nog eens variabel.

Ik zou client certificaten uitdelen met in de Common Name de naam van de gebruiker. (Of e-mailadres)

Controleer anders even of er niet al certificaten in de certificate store staan met dezelfde common name.
Je zegt dat jij het certificaat wel kan installeren.. Maar dan werkt het nog niet.. Hoe installeer jij die certificaten dan..
Ik neem aan dat je PKCS#12 bestanden hebt gekregen.. (.p12 of .pfx)

[ Voor 12% gewijzigd door Equator op 14-06-2006 15:51 ]

Pagina: 1