Помогите установить и настроить службу сертификации
-
Tuesday, October 20, 2009 1:29 PMИмеется контроллер домена на Windows Server 2008 R2 Enterprise.
На втором сервере Windows Server 2008 (без R2) поднят Exchange 2010.
Нужно развернуть службу сертификации.
Помогите это сделать правильно.- Changed Type Nikita PanovMicrosoft Community Contributor, Moderator Wednesday, December 30, 2009 11:20 AM давность
All Replies
-
Tuesday, October 20, 2009 6:34 PMAnswererА для чего, собственно, планируется использовать "службу сертификации"?..
-
Wednesday, October 21, 2009 9:45 AM
А для чего, собственно, планируется использовать "службу сертификации"?..
Пока ради одного момента. Когда пользователи подключаются к Exchange через OWA им вываливается сообщение, что сертификат не действительный и все такое. Когда человек полдня проводит в почте, эти сообщения надоедают. Хочется правильно сделать - установить SSL-сертификат на Exchange Server. Для этого нужно установить корневой центр сертификации предприятия и сконфигурировать его для выпуска SSL-сертификатов. Можно выпустить самоподписанный сертификат, но клиенты не будут доверять такому сертификату. -
Wednesday, October 21, 2009 10:08 AMAnswererТогда проще и правильнее, на мой взгляд, купить сертификат для веб сервера от независимого доверенного удостоверяющего центра, например, Verisign или Thawte.
-
Wednesday, October 21, 2009 12:47 PM
Тогда проще и правильнее, на мой взгляд, купить сертификат для веб сервера от независимого доверенного удостоверяющего центра, например, Verisign или Thawte.
Это решит только одну проблему. Плюс появляется еще две - нужны дополнительные $, как установить коммерческий сертификат. Хотелось бы: организовать передачу и прием сообщений другим почтовым серверам; безопасно аутентифицировать пользователей. Ибо происходит рассылка СПАМа от имени наших сотрудников. -
Thursday, October 22, 2009 11:12 AMOwner
Имеется контроллер домена на Windows Server 2008 R2 Enterprise.
На втором сервере Windows Server 2008 (без R2) поднят Exchange 2010.
Нужно развернуть службу сертификации.
Помогите это сделать правильно.
http://technet.microsoft.com/ru-ru/library/cc783511(WS.10).aspx. С тех пор в общем-то ничего не изменилось.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Thursday, October 22, 2009 11:57 AM
Имеется контроллер домена на Windows Server 2008 R2 Enterprise.
На втором сервере Windows Server 2008 (без R2) поднят Exchange 2010.
Нужно развернуть службу сертификации.
Помогите это сделать правильно.
http://technet.microsoft.com/ru-ru/library/cc783511(WS.10).aspx . С тех пор в общем-то ничего не изменилось.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
Нужно ли устанавливать сетевой ответчик? -
Thursday, October 22, 2009 12:31 PMOwnerДа, нужно
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Thursday, October 22, 2009 1:22 PMЧитаю мануал.
http://technet.microsoft.com/ru-ru/library/cc776709%28WS.10%29.aspx
Вот что я пока понял - написано не все.
Нужно установить роль сервера "Службы сертификации Active Directory".
Что нужно установить из списка?
- Центр сертификации (это я поставил)
- Служба регистрации в центре сертификации через Интернет
- Сетевой ответчик (это я поставил)
- Служба регистрации на сетевых устройствах
- Веб-служба регистрации сертификатов (может и это нужно?)
- Веб-служба политик регистрации сертификатов
-
Thursday, October 22, 2009 1:33 PMOwnerДля начала просто примите значения по умолчанию, которые он предлагает. Это минимально необходимый набор. Если чего-то не хватит, то добавить функционал можно и потом
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Thursday, October 22, 2009 1:45 PMЯ установил с настройками по умолчанию Центр сертификации и Сетевой ответчик.
Теперь нужно создать новый шаблон сертификата.
Читаю руководство http://technet.microsoft.com/ru-ru/library/cc740077%28WS.10%29.asp
Открыл через mmc оснастку Шаблоны сертификатов.
Вопрос.
"Щелкните правой кнопкой мыши шаблон, который необходимо скопировать, и выберите команду Скопировать шаблон ."
Какой шаблон мне нужно скопировать? Или может что-то другое нужно делать? -
Thursday, October 22, 2009 2:50 PMOwnerШаблон того сертификата, на основании которого вы будете в дальнейшем выдавать сертификат своего CA. И пожалуйста, давайте прямые ссылки)) А то по вашей я такого раздела что-то не нашел
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Thursday, October 22, 2009 3:25 PM
Шаблон того сертификата, на основании которого вы будете в дальнейшем выдавать сертификат своего CA. И пожалуйста, давайте прямые ссылки)) А то по вашей я такого раздела что-то не нашел
Так там 33 шаблона.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
Отображаемое имя шаблона Минимально поддерживаемые ЦС Версия Назначения
CEP шифрование Windows 2000 4.1
IPSec Windows 2000 8.1
IPSec (автономный запрос) Windows 2000 7.1
RAS и IAS-сервер Windows Server 2003 Enterprise 101.0 Проверка подлинности клиента, Проверка подлинности сервера
Агент восстановления EFS Windows 2000 6.1
Агент восстановления ключей Windows Server 2003 Enterprise 105.0 Агент восстановления ключей
Агент регистрации Windows 2000 4.1
Агент регистрации (компьютер) Windows 2000 5.1
Агент регистрации Exchange (автономный запрос) Windows 2000 4.1
Администратор Windows 2000 4.1
Базовое шифрование EFS Windows 2000 3.1
Веб-сервер Windows 2000 4.1
Вход со смарт-картой Windows 2000 6.1
Компьютер Windows 2000 5.1
Контроллер домена Windows 2000 4.1
Корневой центр сертификации Windows 2000 5.1
Маршрутизатор (автономный запрос) Windows 2000 4.1
Обмен ЦС Windows Server 2003 Enterprise 106.0 Архивация закрытого ключа
Перекрестный центр сертификации Windows Server 2003 Enterprise 105.0
Подписывание кода Windows 2000 3.1
Подписывание отклика OSPC Windows Server 2008 Enterprise 101.0 Подписание OCSP
Подписывание списка доверия Windows 2000 3.1
Подчиненный центр сертификации Windows 2000 5.1
Пользователь Windows 2000 3.1
Пользователь Exchange Windows 2000 7.1
Пользователь со смарт-картой Windows 2000 11.1
Почтовая репликация каталога Windows Server 2003 Enterprise 115.0 Почтовая репликация службы каталогов
Проверенный сеанс Windows 2000 3.1
Проверка подлинности Kerberos Windows Server 2003 Enterprise 110.0 Проверка подлинности клиента, Проверка подлинности сервера, Вход со смарт-картой, Проверка подлинности центра распространения ключей
Проверка подлинности контроллера домена Windows Server 2003 Enterprise 110.0 Проверка подлинности клиента, Проверка подлинности сервера, Вход со смарт-картой
Проверка подлинности рабочей станции Windows Server 2003 Enterprise 101.0 Проверка подлинности клиента
Только подпись Exchange Windows 2000 6.1
Только подпись пользователя Windows 2000 4.1
Какой шаблон использовать мне для SSL?
Веб-сервер? -
Friday, October 23, 2009 4:30 AMOwnerДля SSL вы создадите сертификат потом. Сперва вам нужно создать сертификат корневого центра сертификации. Он будет служить, так сказать, "гарантом стабильности в регионе")) При наличии такого сертификата вашему СА будут доверять остальные компьютеры и пользователи. А запросить сертификат для Exchange можно уже позже, из консоли самого Exchange. Как это делается, подробно расписано вот тут
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html- Edited by Vinokurov YuriyMicrosoft Contingent Staff, Owner Friday, October 23, 2009 10:25 AM
-
Friday, October 23, 2009 10:24 AMСпасибо, читаю.
Через пару часов отпишусь о результатах. -
Friday, October 23, 2009 12:36 PMНе могу создать запрос на сертификат
Пример
New-ExchangeCertificate –GenerateRequest –Path c:\hubcas1.txt –SubjectName cn=hubcas1.neilhobson.com –DomainName email.neilhobson.com, hubcas1, hubcas1.neilhobson.com –IncludeAcceptedDomains –IncludeAutodiscover –PrivateKeyExportable $true
Домен test.local
Почтовый сервер установлен на exchange.test.local
У меня получается такой запрос, но он не работает
New-ExchangeCertificate –GenerateRequest –Path c:\cert.txt –SubjectName cn=exchange.test.local –DomainName exchange.test.local, exchange, mail.test.com –IncludeAcceptedDomains –IncludeAutodiscover –PrivateKeyExportable $true
Ругается на -Path.
Убрал path. Получилось так
New-ExchangeCertificate –GenerateRequest –Path c:\cert.txt –SubjectName cn=exchange.test.local –DomainName exchange.test.local, exchange, mail.test.com –IncludeAcceptedDomains –IncludeAutodiscover –PrivateKeyExportable $true
Выделил и сохранил в текстовый файл получившийся запрос
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIEHTCCAwUCAQAwIjEgMB4GA1UEAwwXZXhjaGFuZ2UudW5pYmVsdXMubG9jYWww
ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCp5ZZKZZK/Mps9u8VLIfFB
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ptQfbmZUlve9e3UkVzT909kW7AHIvk9pa2x/pWbocF2y1xOtsRU0+HW7E10rdPIb
AaMD9pCzQwS6o0ASyMyOS7y+C9j9lTdKwqnUplQ7YnNx8TJXdKzcTvyIuH3CICZg
QQ==
-----END NEW CERTIFICATE REQUEST----- -
Friday, October 23, 2009 1:25 PMУперся в проблему.
Нужно зайти в веб-интерфейс центра сертификации
Я добавил Веб-службу регистрации сертификатов.
Но так и не нашел как в нее войти.
http://server/certsrv не работает. -
Friday, October 23, 2009 6:36 PMAnswererРуслан, давайте начнем разбираться с тем, что Вы наваяли, основательно и делтально.
Что сообщает Вам PKIView ("pkiview.msc")?.. -
Saturday, October 24, 2009 11:12 AM
Руслан, давайте начнем разбираться с тем, что Вы наваяли, основательно и делтально.
Что сообщает Вам PKIView ("pkiview.msc")?..
-
Monday, October 26, 2009 6:15 AMOwner
Уперся в проблему.
Нужно зайти в веб-интерфейс центра сертификации
Я добавил Веб-службу регистрации сертификатов.
Но так и не нашел как в нее войти.
http://server/certsrv не работает.
Вот по этому пути C:\Windows\system32\CertSrv\ru-RU файлы этого сайта есть? В IIS посмотрите, разрешен ли доступ к этому сайту
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Monday, October 26, 2009 10:52 AM
В папке C:\Windows\system32\CertSrv\ нет папки ru-RU.Уперся в проблему.
Нужно зайти в веб-интерфейс центра сертификации
Я добавил Веб-службу регистрации сертификатов.
Но так и не нашел как в нее войти.
http://server/certsrv не работает.
Вот по этому пути C:\Windows\system32\CertSrv\ru-RU файлы этого сайта есть? В IIS посмотрите, разрешен ли доступ к этому сайту
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
Есть только CertEnroll. -
Monday, October 26, 2009 10:54 AMOwner
Тьфу)) Я по инерции дал вам путь для русской версии сервера. Вопрос насчет IIS и прав доступа к папке CertSrv остатся в силе
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Monday, October 26, 2009 1:05 PM
На файловой системе нет доступа для IIS в папку C:\Windows\system32\CertSrv.Тьфу)) Я по инерции дал вам путь для русской версии сервера. Вопрос насчет IIS и прав доступа к папке CertSrv остатся в силе
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
Где в IIS посмотреть, разрешен ли доступ к этому сайту?
Среди пулов приложений есть:
DefaultAppPool
OCSPISAPIAppPool
WSEnrollmentServer
В C:\inetpub\wwwroot только старичка по умолчанию.
В Default Web Site есть ocsp и Test-AD1-CA_CES_Kerberos -
Tuesday, October 27, 2009 7:17 AMOwner
В IIS разворачиваете Default web site, выбираете CertSrv, в правой части окна нажимаете Edit permissions и там смотрите. И еще - у вас установлена роль AD Certificate Services. В Server Manager выберите ее и посмотрите, установлена ли служба роли Certificate authority web enrollment - именно она отвечает за наличие веб-интерфейса.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Tuesday, October 27, 2009 7:52 AM
Через 3 часа отпишу.В IIS разворачиваете Default web site, выбираете CertSrv, в правой части окна нажимаете Edit permissions и там смотрите. И еще - у вас установлена роль AD Certificate Services. В Server Manager выберите ее и посмотрите, установлена ли служба роли Certificate authority web enrollment - именно она отвечает за наличие веб-интерфейса.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Tuesday, October 27, 2009 11:23 AMЕсли развернуть Default web site, там нет CertSrv, о чем я писал несколькими постами выше.
-
Tuesday, October 27, 2009 11:29 AMOwnerВы писали, что нет такого каталога в папке Windows\system 32. Иногда это разные вещи. Служба Certificate authority web enrollment установлена?
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Tuesday, October 27, 2009 12:20 PMУ меня установлено из служб сертификации Active Directory:
Центр сертификации
Сетевой ответчик
Веб-служба регистрации сертификатов
Юрий, а можно как-нибудь голосом пообщаться?
Скайп, например.
Уже неделю пытаюсь настроить службы сертификации, а толка нет. -
Tuesday, October 27, 2009 12:37 PMOwner
Посмотрел на тестовом стенде. Установлены все службы, кроме сетевого ответчика. Выдача сертификатов работает. Установите оставшиеся службы роли (их всего 6).
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Tuesday, October 27, 2009 12:44 PMЗапустил установку всех шести ролей.
-
Tuesday, October 27, 2009 12:48 PMПопал в Веб-интерфейс.
Напоминаю, что я делал выше.
Я установил Exchange, выполнил создать запрос на сертификат, сохранил запрос в текстовом файле.
Что делать дальше? -
Tuesday, October 27, 2009 4:58 PMOwnerДалее запрашиваем сертификат, выбираем Advansed Request, затем Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file. В появившемся диалоге вставляем содержимое нашего текстового файла, выбираем тип сертификата Web Server, нажимаем Submit, ставим галочку DER Encoded, и жмем Download Certificate. Все, сертификат мы получили. Затем, вооружившись словарем, переходим в восьмую часть данной статьи (ссылки ниже основного текста), чтобы импортировать и активировать сертификат.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Wednesday, October 28, 2009 12:42 PMУ меня пусто в шаблонах сертификатов
-
Wednesday, October 28, 2009 12:46 PMOwnerНа какой стадии у вас пусто? Чуть ранее вы говорили, что их у вас более трех десятков.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Wednesday, October 28, 2009 1:24 PMКогда открываешь шаблоны через mmc там их навалом.
Когда через браузер запрашиваешь сертификат, вставляешь содержимое текстового файла, нужно выбрать шаблон сертификата.
В этом окошке написано, что шаблоны не найдены. -
Wednesday, October 28, 2009 1:42 PMOwnerВ консоли IIS создайте сертификат веб-сервера, как написано здесь. Потом повторите процедуру запроса сертификата через веб-интерфейс.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Monday, January 18, 2010 3:34 PMЯ все сделал:
установил и настроил службу сертификации
сформировал запрос на сертификат
получил сертификат
импортировал и активировал сертификат.
Остались пробмемы с эксплуатацией этого сертификата.
Как внешним клиентам (ноутбукт вне домена) дать возможность работать с Exchange anywhere?
Когда заходишь доменным компом и юзвером на owa все равно ругается на сертификат.
Необходимо вручную импортировать сертификат на exchange и центр сертификации. -
Monday, January 18, 2010 6:05 PM
Попробуйте импортировать его через доменные политики и утилиту certutil. Посмотрите похожую тему:
http://social.technet.microsoft.com/Forums/en/winserverGP/thread/be3d3a0c-ac30-4078-8078-13fd03278b70 -
Tuesday, January 19, 2010 12:40 PM
Прочитал похожие темы.
Ничего не понял.
Может ест официальное руководство?
Что делать с компами, которые не в домене, но юзеры с них пользуются outlook anywhere? -
Tuesday, January 19, 2010 12:50 PM
вот описание certutil c сайта microsoft:
http://technet.microsoft.com/en-us/library/cc732443(WS.10).aspx
пример синтаксиса:
certutil.exe -addstore StoreName mycertificate.cer
это команда добавит сертификат mycertificate.cer в хранилище StoreName (имена сертификата и хранилища нужно заменить на нужные Вам).
На компьютерах не в домене эту команду можно выполнить вручную. -
Tuesday, January 19, 2010 12:52 PM
Спасибо, начну изучать.
-
Monday, January 25, 2010 1:30 PM
Есть проблема с импортом сертификата на компах вне домена
Я пробовал (некоторые не важные параметры заменены на test)
C:\Windows>certutil.exe -addstore Trust certnew.cer
Trust
Сертификат "CN=Exchange, OU=IT, O=Test, L=Minsk, S=Test, C=Test" добавлен в х
ранилище.
CertUtil: -addstore - команда успешно выполнена.C:\Windows>certutil.exe -addstore My certnew.cer
My
Сертификат "CN=Exchange, OU=IT, O=Test, L=Test, S=Test, C=Test" добавлен в х
ранилище.
CertUtil: -addstore - команда успешно выполнена.C:\Windows>certmgr.exe -add -c RootCA.cer -s -r localMachine Root
Но в браузере все равно ругается на сертификат. -
Tuesday, January 26, 2010 1:31 PM
Help
-
Tuesday, January 26, 2010 3:02 PMAnswerer
В хранилище компьютера "доверенные корневые" сертификат Вашего корневого УЦ присутствует? Списки отзыва выпускающего доступны для клиента?
-
Wednesday, January 27, 2010 1:24 PMВ хранилище компьютера "доверенные корневые" сертификат Вашего корневого УЦ отсутствует.
В сертификате написано не удается обнаружить поставщика сертификата.
Как узнать , доступны ли списки отзыва выпускающего для клиента? -
Thursday, January 28, 2010 7:13 AMOwnerПроверить наличие и доступность CRL помогает консоль pkiview.msc. Taк же можете попробовать выполнить следующую команду: certutil -verify -urlfetch <Cert_Name>.crt - эта команда проведет валидацию в вашем контексте безопасности и попытается выкачать все сертификаты и CRL с источника. Ну и, конечно, же, попробуйте получить сертификат и установить его в хранилище вручную.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Thursday, January 28, 2010 11:17 AMУ меня сертификат с расштрением cer
Как получить файл в формате crt?
Я пробовал устанавливать сертификат cer вручную - не помогает. -
Thursday, January 28, 2010 1:29 PMOwnerПрошу прощения, сертификат действительно должен быть в формате cer. crt - это немного другой тип.
Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html -
Saturday, January 30, 2010 10:54 PM
Здравствуйте!
Почитал топик и у меня есть несколько комментариев.
> Нужно ли устанавливать сетевой ответчик?
Online Respinder целесообразно (но совсем не обязательно) устанавливать, если у вас есть клиенты Windows Vista и выше. Windows XP/2003 не поддерживают протокол OCSP.
> Веб-служба регистрации сертификатов (может и это нужно?)
эту службу (вместе со службой политик сертификатов) целесообразно устанавливать если у вас есть клиенты Windows 7 и выше. ОС pre-Vista не поддерживают CEP/CES.
> Сперва вам нужно создать сертификат корневого центра сертификации
ответ неверный. Корневой сертификат создаётся во время установки компонента Certification Authority.
> Нужно зайти в веб-интерфейс центра сертификации
не нужно. Вам достаточно было открыть оснастку certsrv.msc, нажать правой кнопкой на сервере CA и выбрать all task -> Submit new request и указать на ваш файл запроса.
> Вот по этому пути C:\Windows\system32\CertSrv\ru-RU файлы этого сайта есть?
эти файлы не появятся пока не будет установлен компонент Enrollment web pages (Certification Authority Web Enrollment). ТС не устанавливал этот компонент, поэтому там файлов не будет.
> Запустил установку всех шести ролей.
вам по сути кроме роли CA ничего не надо было устанавливать.
> В этом окошке написано, что шаблоны не найдены.
а это потому что Web Enrollment требует наличия HTTPS, которого у вас скорее всего нету.
> Когда заходишь доменным компом и юзвером на owa все равно ругается на сертификат
как именно ругается? Можете привести ошибки? Заодно скажите, на какое имя выдан сертификат и по какому адресу вы подключаетесь к OWA?> Попробуйте импортировать его через доменные политики и утилиту certutil. Посмотрите похожую тему:
> http://social.technet.microsoft.com/Forums/en/winserverGP/thread/be3d3a0c-ac30-4078-8078-13fd03278b70неверно.
> certutil.exe -addstore StoreName mycertificate.cer
и это неверно, потому что надо использовать утилиту certreq.exe с параметром accept или сделать так:
открыть оснастку Certificates с фокусом на Local computer. Зайти в папку Certificate Enrollment Requests и туда импортировать полученный .cer файл. После чего оба файла скомбинируются в один и полученный сертификат мышкой перетащить в Personal.
> В хранилище компьютера "доверенные корневые" сертификат Вашего корневого УЦ отсутствует.
для доменных клиентов вы можете сделать так:
certutil -dspublish -f path\RootCAcert.cer RootCA
certutil -dspublish -f path\RootCAcert.cer NTAuthCA
или распространить сертификат посредством групповых политик:
http://technet.microsoft.com/en-us/library/cc770315(WS.10).aspx
корневой сертификат добавлять только в Trusted Root Certification Authorities.
> Что делать с компами, которые не в домене, но юзеры с них пользуются outlook anywhere?
тут вам придётся переделывать расширения AIA и CDP и по новой переиздавать все сертификаты. А именно, выкинуть ссылки на LDAP и использовать только HTTP.
http://www.sysadmins.lv -
Monday, February 01, 2010 1:55 PM
Здравствуйте!
Почитал топик и у меня есть несколько комментариев.
> Нужно ли устанавливать сетевой ответчик?
Online Respinder целесообразно (но совсем не обязательно) устанавливать, если у вас есть клиенты Windows Vista и выше. Windows XP/2003 не поддерживают протокол OCSP.
> Веб-служба регистрации сертификатов (может и это нужно?)
эту службу (вместе со службой политик сертификатов) целесообразно устанавливать если у вас есть клиенты Windows 7 и выше. ОС pre-Vista не поддерживают CEP/CES.
> Сперва вам нужно создать сертификат корневого центра сертификации
ответ неверный. Корневой сертификат создаётся во время установки компонента Certification Authority.
> Нужно зайти в веб-интерфейс центра сертификации
не нужно. Вам достаточно было открыть оснастку certsrv.msc, нажать правой кнопкой на сервере CA и выбрать all task -> Submit new request и указать на ваш файл запроса.
> Вот по этому пути C:\Windows\system32\CertSrv\ru-RU файлы этого сайта есть?
эти файлы не появятся пока не будет установлен компонент Enrollment web pages (Certification Authority Web Enrollment). ТС не устанавливал этот компонент, поэтому там файлов не будет.
> Запустил установку всех шести ролей.
вам по сути кроме роли CA ничего не надо было устанавливать.
> В этом окошке написано, что шаблоны не найдены.
а это потому что Web Enrollment требует наличия HTTPS, которого у вас скорее всего нету.
> Когда заходишь доменным компом и юзвером на owa все равно ругается на сертификат
как именно ругается? Можете привести ошибки? Заодно скажите, на какое имя выдан сертификат и по какому адресу вы подключаетесь к OWA?> Попробуйте импортировать его через доменные политики и утилиту certutil. Посмотрите похожую тему:
> http://social.technet.microsoft.com/Forums/en/winserverGP/thread/be3d3a0c-ac30-4078-8078-13fd03278b70неверно.
> certutil.exe -addstore StoreName mycertificate.cer
и это неверно, потому что надо использовать утилиту certreq.exe с параметром accept или сделать так:
открыть оснастку Certificates с фокусом на Local computer. Зайти в папку Certificate Enrollment Requests и туда импортировать полученный .cer файл. После чего оба файла скомбинируются в один и полученный сертификат мышкой перетащить в Personal.
> В хранилище компьютера "доверенные корневые" сертификат Вашего корневого УЦ отсутствует.
для доменных клиентов вы можете сделать так:
certutil -dspublish -f path\RootCAcert.cer RootCA
certutil -dspublish -f path\RootCAcert.cer NTAuthCA
или распространить сертификат посредством групповых политик:
http://technet.microsoft.com/en-us/library/cc770315(WS.10).aspx
корневой сертификат добавлять только в Trusted Root Certification Authorities.
> Что делать с компами, которые не в домене, но юзеры с них пользуются outlook anywhere?
тут вам придётся переделывать расширения AIA и CDP и по новой переиздавать все сертификаты. А именно, выкинуть ссылки на LDAP и использовать только HTTP.
http://www.sysadmins.lv
Спасибо за самый большой пост.
У меня все работает, кроме компов, которые вне домена.
Как мне настроить сертификат для компов вне домена?
Можно по подробнее? -
Monday, February 01, 2010 2:29 PMкак я вам уже говорил, вам нужно очень много переделать, чтобы обеспечить работу сертификатов вне домена. В частности, предоставить в публичный доступ CRT/CRL файлы по протоколу HTTP. Т.е. выставить в интернет веб-сервер с которого клиенты будут скачивать сертификаты и списки отзыва.
http://www.sysadmins.lv -
Monday, February 01, 2010 3:17 PMЭто не проблема.
У меня таких клиентов штук 10-20.
Можно на время дать доступ.
Или нужен постоянный доступ? -
Monday, February 01, 2010 3:29 PMКстати, может поможете и тут?
http://social.technet.microsoft.com/Forums/ru-RU/exchange2010ru/thread/a75e3cc8-0a49-4ef4-a7e2-b65b3bddf592 -
Monday, February 01, 2010 4:14 PM
Это не проблема.
У меня таких клиентов штук 10-20.
Можно на время дать доступ.
Или нужен постоянный доступ?
Безусловно постоянный доступ. Скажите, у вас есть веб-сервер, который доступен изнутри и снаружи домена?
На счёт Exchange вам уже там подсказали что делать. Но всё равно будут проблемы с сертификатом, потому что клиенты не могут проверить его на отзыв.
http://www.sysadmins.lv -
Tuesday, February 02, 2010 12:02 PM
У меня в постоянном доступе изнутри и снаружи есть веб-сервер.Это не проблема.
У меня таких клиентов штук 10-20.
Можно на время дать доступ.
Или нужен постоянный доступ?
Безусловно постоянный доступ. Скажите, у вас есть веб-сервер, который доступен изнутри и снаружи домена?
На счёт Exchange вам уже там подсказали что делать. Но всё равно будут проблемы с сертификатом, потому что клиенты не могут проверить его на отзыв.
http://www.sysadmins.lv
Это Exchange. В частности, PWA.
Службы сертификации установлены на отдельной виртуальной машине. -
Wednesday, February 03, 2010 6:42 PM
отлично. Тогда на веб-сервере создайте виртуальную директорию под веб-сайтом, которая указывает на какую-нибудь папку на сервере (по вашему желанию, например, C:\certdata). Настройте разрешение на папку: IUSR_Computername (для pre-2008) или IIS_IUSR (для 2008 и выше) — Allow Read, учётной записи компьютера CA выдайте Allow Write. После чего расшарьте эту папку по сети и в share permissions добавьте право Change для учётной записи компьютера CA.
Далее, на сервере CA выполните следующие команды:
certutil -setreg CA\CACertPublicationURLs "1:file://\\{WebServerName}\CertData\%%1_%%3%%4.crt\n1:%windir%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n2:http://www.domain.com/CertData/%%1_%%3%%4.crt\n1:ldap:///CN=%%7,CN=AIA,CN=Public Key Services,CN=Services,%%6%%11"certutil -setreg CA\CRLPublicationURLs "65:file://\\{WebServerName}\CertData\%%3%%8%%9.crl\n65:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n6:http://www.domain.com/CertData/%%3%%8%%9.crl\n65:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key
Services,CN=Services,%%6%%10"
WebServerFQDN замените на внутреннее имя вашего веб-сервера.
www.domain.com замените на публичное имя вашего веб-сервера.
Данные команды будут автоматически копировать CRT/CRL файлы в расшаренную папку и добавлять HTTP ссылку на скачивание CRT/CRL в издаваемые сертификаты. После выполнения команд перезапустите службу Certificate Services. После перезапуска службы запросите пробный сертификат и убедитесь, что ссылки настроены правильно и из интрнета файлы по этим ссылкам доступны. Если всё будет хорошо, то переиздайте сертификаты для каждого недоменного клиента.
http://www.sysadmins.lv
.png){kind=spacer}
