4

IIS7 で使用する CTL を生成する必要があります。

MakeCTL (Win2k3 SDK 上) を使用して CTL ファイルを生成し、独自の RootCA 証明書のみを CTL に入れました。

ただし、adsutil.vbs を使用して Web サイトでこの CTL を使用するように設定すると、次のようになります。

ErrNumber: -2147023584 (0x80070520) プロパティの設定中にエラーが発生しました: SslCtlIdentifier

次のような adsutil.vbs を使用しています。

cscript adsutil.vbs set w3svc/2/SslCtlIdentifier は CTL のフレンドリ名です

問題は、わかりやすい名前を設定できないことです。ウィザードの最後に「Friendly Name:」と表示されます。

IIS6 では、フレンドリ名 (証明書 MMC に表示) で CTL を作成できますが、そこからエクスポートすると、インポートするとフレンドリ名がなくなります。

誰かがそれを行う方法を教えてもらえますか?

4

3 に答える 3

3

これは IIS 7.0 では機能するはずですが、IIS 7.5 では機能しない可能性があります。
このページが役立つかどうかお知らせください - http://www.rethinker.net/Blog/Post/14/How-to-Create-and-Use-a-CTL-for-IIS-7-0

于 2010-02-05T00:34:06.520 に答える
2

私はまったく同じ問題を経験していて、答えを見つけるのに同じ問題を抱えています。

MakeCTLを使用して証明書信頼リストのフレンドリ名を作成するための文書化された方法はないようです。また、CTLをIIS7に追加するための文書化された唯一の方法は、上記のadsutilスクリプトNeilが参照するものを使用しますが、わかりやすい名前が必要です。これを行うためのプログラム的な方法を掘り下げることができると思いますが、私はそれを深くするつもりはありません。

この問題の核心は、IIS7がCTLの支持を失ったように見えることです。そうでなければ、それらのUIをサポートすることになります。CTLの代替手段をクライアント側の証明書と組み合わせて使用​​している人はいますか?

これがIIS7にとって大きな問題ではないのは奇妙だと思います。

更新: 私はついにこれに戻り、FriendlyNameの問題を理解しました。フレンドリ名を割り当てるには、CTLをファイルではなく証明書ストアに保存する必要があります(以前は常にファイルアプローチを使用していました)。したがって、ウィザードモード(引数なし)でMakeCTLを使用し、[証明書の信頼リストストレージ]ページで[証明書ストア]を選択すると、フレンドリ名を指定できる新しいページが表示されます。

そのため、LocalMachineの「中間証明機関」証明書ストアにCTLがあります。現在、「netsh http add sslcert」を使用して、CTLを自分のサイトに割り当てようとしています。

このコマンドを使用する前に、サーバー認証のために自分のサイトに割り当てられている既存のSSL証明書を削除する必要がありました。次に、netshコマンドで、削除したのとまったく同じSSL証明書のフィンガープリントに加えて、作成されたappidに加えて、「sslctlidentifier = MyCTL sslctlstorename=CA」を指定します。結果のコマンドは次のとおりです。

netsh http add sslcert ipport = 10.10.10.10:443 certhash = adfdffa988bb50736b8e58a54c1eac26ed005050 appid = {ffc3e181-e14b-4a21-b022-59fc669b09ff} sslctlidentifier = MyCTL sslctlstorename = CA

(IPアドレスが変更されています)が、このエラーが発生します:

SSL証明書の追加に失敗しました、エラー:1312指定されたログオンセッションは存在しません。すでに終了している可能性があります。

エラーはCTLオプションに関連していると確信しています。なぜなら、それらを削除すると機能するからです(もちろん、CTLは割り当てられていませんが)。

誰かが私がこの最後の一歩を踏み出し、これを機能させるのを手伝ってもらえますか?

UPDATE 01-07-2010: IIS 7.0でこれを解決したことはなく、アプリをIIS 7.5に移行して、もう一度試してみました。テストサーバーにIIS6互換性をインストールし、adsutil.vbsを使用してここに記載されている手順を試しました。私はすぐにニールが上でしたのと同じエラーに遭遇しました:

ErrNumber:-2147023584プロパティを設定しようとしたときにエラーが発生しました:SslCtlIdentifier

このコマンドを実行する場合:

adsutil.vbs set w3svc / 1 / SslCtlIdentifier MyFriendlyName

次に、文書化されている次のadsutil.vbsコマンドを試しましたが、同じエラーで失敗しました。

作成したCTLのフレンドリ名がMyFriendlyNameであり、LocalComputerの「中間証明機関\証明書信頼リスト」ストアに存在することを確認しました。

ですから、もう一度私は完全に停止しています。他に何をしようかわからない。誰かがCTLをIIS7または7.5で動作させるようにしたことがありますか?これまで?私は死んだ馬を打ち負かしていますか?グーグルは私自身の投稿と他の同様の話だけを出します。

アップデート6/08/10 -KB981506がこの問題を解決することを確認できるようになりました。この機能を有効にするには、Server2008R2マシンに適用する必要があるこのKBに関連付けられたパッチがあります。それがインストールされると、すべてが私にとって完璧に機能します。

于 2008-12-05T16:52:50.723 に答える