none
Overeni nedomenovych pocitacu pres RADIUS

    Dotaz

  • Zdravim panove,

    rad bych overoval stanice, ktere nejsou v domene pres RADIUS certifikatem (pripojeni pres wifi)

    Problem je ten, ze i po mnoha hodinach hledani na ruznych forech se mi stale nedari zazadat o certifikat z domenove ani nedomenove stanice.

    Vytvoril jsem si kopii sablony computers tak, aby bylo mozne vyexportovat privatni klic (nastavil prava)..., ktery bych pak naimportoval do nedomenove stanice

    at uz pres web (https://CAserver/certsrv) nebo z mmc konzole mi to pise chybu:

    Your certificate request was denied.

    "Denied by Policy Module 0x80094800, The request was for a certificate template
    that is not supported by the Active Directory Certificate Services policy:
    1.3.6.1.4.1.311.21.8.11214532.9739098.4147121.6640768.3785103.230.10507270.714780(Copy
    of Computer). ".

    System w2k8 SE, Ent.CA, NPS, klient w7

    dle http://social.technet.microsoft.com/Forums/en-US/configmgribcm/thread/b3795659-3c2e-41cb-94ba-2dd2658fef49/ lze vytvorit sablonu jen na EE

    Muj dotaz tedy zni:

    - je mozne na w2k8 SE (neni to ani r2, takze Certification Authority Web Enrollment Policy tam taky neni) nejak nastavit/pripadne jak, zadost o certifikat pro nedomenovy pocitac (at uz by byl jeden certifikat pro vice pocitacu nebo kazdy mel svuj)?

    diky

    pátek 15. března 2013 11:48

Odpovědi

  • ok. takže úplně NEPODPOROVANÉ, ale funkční řešení je úprava jedné z těch výchozích šablon přímo v AD. Otevřete si ADSIEdit.MSC, připojte si tam Configuration, v tom rozklikněte Services,PublicKeyServices,CertificateTemplates a tam najdete ty šablony. Budete potřebovat šablonu, která je skoro úplně stejná, jak ta vaše, co potřebujete - třeba IPSecIntermediateOffline, na ní si musíte změnit ale pkiExtendedKeyUsage na ClientAuthentication = 1.3.6.1.5.5.7.3.2, pokud by to úplně nakonec nejelo, tak bych ještě možná pozměnil pkiDefaultCSPs (ale to až v případě, že by to opravdu nefungovalo - na hodnotu 1,Microsoft Enhanced Cryptographic Provider v1.0 - tu jedničku na začátku tam nechte). A hlavně si musíte přidat příznak exportovatelnosti - CT_FLAG_EXPORTABLE_KEY do atributu msPKI-Private-Key-Flag - což je hodnota 16 (0x10), kterou k tomu musíte přičíst - tzn. jak se dívám u sebe, já tam mám teď 0, takže by to mělo být ve výsledku 16. Ale pro jistotu říkám, že to jejnom přídavek jednoho bitu s hodnotou 16 (bit číslo 5 zprava).

    ondra.

    • Označen jako odpověď Miloš Jánoš pondělí 18. března 2013 8:32
    pondělí 18. března 2013 7:50

Všechny reakce

  • ta hlaska primo rika, ze jste sice zrejme udelal kopii te šablony, ale nevidíte ji zřejmě uvnitř CA v Certificate Templates, ne? Tak ji tam musíte přidat. To, co jste udělal je jenom definice nové šablony, která je jen uložena v Active Directory. Musíte ji tedy ještě přidat do autority, aby to taky vydávala.

    jestliže nemáte R2, ale máte pouze W2k8 STANDARD EDITION, tak máte také smůlu, protože tohle neumí ty šablony vůbec využívat. Tam můžete používat pouze šablony, které jsou předdefinované a jsou verze Windows 2000 (verze 1).

    ve vašem případě byste to buď musel posunout alespoň na R2, nebo 2012.

    ono by to šlo sice zařídit i se Standard Edition, ale musím se podívat, jakou šablonu bychom upravili ručně v AD. Nemůžete to hodit na R2?

    ondra.

    neděle 17. března 2013 7:43
  • Diky za odpoved Ondro,

    sablonu v autorite mam, ale asi narazim na verzi windows, to bude cely kamen urazu.

    predelavat to na vyssi verzi by byl asi trosku problem, zejmena z hlediska financi...zkusim to, ale dost pochybuji...

    ono v nejhorsim pripade to overovani udelam jen pres uzivatelske jmeno, ale pomoci certifikatu mi to pripadalo takove peknejsi a hlavne bezpecnejsi ;), kdyz uz si tu na nejakou bezpecnost hrajem

    Milos

    pondělí 18. března 2013 7:02
  • ok. takže úplně NEPODPOROVANÉ, ale funkční řešení je úprava jedné z těch výchozích šablon přímo v AD. Otevřete si ADSIEdit.MSC, připojte si tam Configuration, v tom rozklikněte Services,PublicKeyServices,CertificateTemplates a tam najdete ty šablony. Budete potřebovat šablonu, která je skoro úplně stejná, jak ta vaše, co potřebujete - třeba IPSecIntermediateOffline, na ní si musíte změnit ale pkiExtendedKeyUsage na ClientAuthentication = 1.3.6.1.5.5.7.3.2, pokud by to úplně nakonec nejelo, tak bych ještě možná pozměnil pkiDefaultCSPs (ale to až v případě, že by to opravdu nefungovalo - na hodnotu 1,Microsoft Enhanced Cryptographic Provider v1.0 - tu jedničku na začátku tam nechte). A hlavně si musíte přidat příznak exportovatelnosti - CT_FLAG_EXPORTABLE_KEY do atributu msPKI-Private-Key-Flag - což je hodnota 16 (0x10), kterou k tomu musíte přičíst - tzn. jak se dívám u sebe, já tam mám teď 0, takže by to mělo být ve výsledku 16. Ale pro jistotu říkám, že to jejnom přídavek jednoho bitu s hodnotou 16 (bit číslo 5 zprava).

    ondra.

    • Označen jako odpověď Miloš Jánoš pondělí 18. března 2013 8:32
    pondělí 18. března 2013 7:50
  • vyzkousim, diky

    pondělí 18. března 2013 8:32
  • tak jsem vse udelal podle navodu a dostal jsem se do stavu

    Your certificate request was denied.

    The disposition message is "Error Constructing or Publishing Certificate".

    nicmene, alespon castecny uspech jsem slavil, bude novy R2 server ;), tam uz si snad poradim....jeste jednou diky za cas a rady


    edit: zajimave, pres mmc konzoli to proslo, takze tato chyba je jen pres https://CAserver/certsrv
    pondělí 18. března 2013 12:04