Certificaat error.

Hey hey.


Weet er iemand misschien een oplossing voor mijn certificaat probleem?

Wij zijn bezig om ssl certificaten te installeren voor een groot netwerk (500+ users)
En nou hebben 2 van de gebruikers problemen met het instaleren van het certificaat.
Rare is, dat alle andere users er geen problemen mee hebben, terwijl ze allemaal dezelfde hardware / software configuratie hebben.

Alle computers zitten ingesloten in een active directory domein. En als ik inlog onder een andere gebruiker op 1 van de 2 pc's, dan kan ik de certificaten wel installeren. Als de 2 gebruikers op een andere computer inloggen kunnen ze de certificaat ook niet installen.

Je zou denken dat het policy's zijn, rare is alleen dat alle users aangemaakt zijn aan de hand van een template, alle users zijn dus exact hetzelfde.

De error die ik krijg iop de accounts is: "An internal error occurred. The private key that you are importing might require a cryptographic service provider that is not installed on your system."

De software draaiend op de clients is windows 2000.

Heeft iemand dit eerder gehad? Of weet er iemand een oplossing.
Zou je die dan met ons willen delen.

Bij voorbaat dank
HP

Wat voor certificaten probeer je te installeren Computer certificaten, Client certificaten.
Zijn dit de certificaten van de gebruikers zelf waar het fout mee gaat.

Het zijn ssl certificaten voor een website, gegenereert per user. client dus

Bevatten de Distinguished Name velden misschien niet toe gelaten characters.

Van de A:D? Nee, ze gebruiken normale tekens in hun naam velden.
Maar de certificaten zijn (en komen) ook niet van de A:D server af. En staan verders ook helemaal niet in verband daarmee. Voorbeeldje van een certificaat zoals ze er nu uit zien:


E = xxx@xxx.nl (<<< email adres)
CN = xxx.xxx.xxx.xxx (<<< client user ip adres)
OU = private
O = Datam Struct
S = The Netherlands
C = NL

(natuurlijk zijn de gegevens een beetje geweizigd, maar dit is de opbouw zegmaar)

Ook geen gekke tekens in de certificaat sleutel(s).

Mag een Admin het certificaat wel installeren..

Ja, en wij kunnen ze ook gewoon installen. Users ook, op 2 na dan
Maar wij kunnen niet de user certificaten installen. (niet voor ons eigen, maar ook niet voor de user)
Dit omdat de certificaten on-the-fly worden gemaakt, en omdat ze ip specefiek zijn.

Dat zijn even snel een paar vragen.. Misschien komen we er verder mee..

Laat ik het hopen
Dan is er bij mij iniedergeval 1 kopzorg minder.....


Overigens, als ik inlog als desbetreffende gebruiker. En ik installeer het certificaat d.m.v. het in de certificaten directory te zetten. Dan komen ze wel op in de lijst van certificaten bij internet explorer, maar als ik met het certificaat dan probeer in te loggen op de website, dan stuurt hij niet het certificaat mee. Als ik in de logs kijk van mijn webserver, dan vind ik daarover niks terug over certificaten bij die aanvraag. En ook de cookie die erbij hoort word niet geset.

[ Voor 10% gewijzigd door hp197 op 13-06-2006 13:46 ]

We hebben er niet specefiek voor gekozen om de common name ip specifiek te maken, maar omdat de certificaten buiten het domein gemaakt worden. Was het op dat moment de beste en de snelste oplossing. In de certificaatverlener eigenschappen staat staat overigens wel de naam bij common name.
Wat ik hierboven gepost heb, was het kopje onderwerp.

De certificaten worden gegenereerd door een linux (Slackware) machine op afstand. Dezelfde als waar de webserver op draait.

[ Voor 20% gewijzigd door hp197 op 14-06-2006 15:46 ]