none
Помогите установить и настроить службу сертификации RRS feed

  • General discussion

  • Имеется контроллер домена на Windows Server 2008 R2 Enterprise.
    На втором сервере Windows Server 2008 (без R2) поднят Exchange 2010.
    Нужно развернуть службу сертификации.
    Помогите это сделать правильно.
    Tuesday, October 20, 2009 1:29 PM

All replies

  • А для чего, собственно, планируется использовать "службу сертификации"?..
    Tuesday, October 20, 2009 6:34 PM
    Answerer
  • А для чего, собственно, планируется использовать "службу сертификации"?..
    Пока ради одного момента. Когда пользователи подключаются к Exchange через OWA им вываливается сообщение, что сертификат не действительный и все такое. Когда человек полдня проводит в почте, эти сообщения надоедают. Хочется правильно сделать - установить SSL-сертификат на Exchange Server. Для этого нужно установить корневой центр сертификации предприятия и сконфигурировать его для выпуска SSL-сертификатов. Можно выпустить самоподписанный сертификат, но клиенты не будут доверять такому сертификату.
    Wednesday, October 21, 2009 9:45 AM
  • Тогда проще и правильнее, на мой взгляд, купить сертификат для веб сервера от независимого доверенного удостоверяющего центра, например, Verisign или Thawte.
    Wednesday, October 21, 2009 10:08 AM
    Answerer
  • Тогда проще и правильнее, на мой взгляд, купить сертификат для веб сервера от независимого доверенного удостоверяющего центра, например, Verisign или Thawte.
    Это решит только одну проблему. Плюс появляется еще две - нужны дополнительные $, как установить коммерческий сертификат. Хотелось бы: организовать передачу и прием сообщений другим почтовым серверам; безопасно аутентифицировать пользователей. Ибо происходит рассылка СПАМа от имени наших сотрудников.
    Wednesday, October 21, 2009 12:47 PM
  • Имеется контроллер домена на Windows Server 2008 R2 Enterprise.
    На втором сервере Windows Server 2008 (без R2) поднят Exchange 2010.
    Нужно развернуть службу сертификации.
    Помогите это сделать правильно.

    http://technet.microsoft.com/ru-ru/library/cc783511(WS.10).aspx. С тех пор в общем-то ничего не изменилось.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Thursday, October 22, 2009 11:12 AM
  • Имеется контроллер домена на Windows Server 2008 R2 Enterprise.
    На втором сервере Windows Server 2008 (без R2) поднят Exchange 2010.
    Нужно развернуть службу сертификации.
    Помогите это сделать правильно.

    http://technet.microsoft.com/ru-ru/library/cc783511(WS.10).aspx . С тех пор в общем-то ничего не изменилось.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    Нужно ли устанавливать сетевой ответчик?
    Thursday, October 22, 2009 11:57 AM
  • Да, нужно
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Thursday, October 22, 2009 12:31 PM
  • Читаю мануал.
    http://technet.microsoft.com/ru-ru/library/cc776709%28WS.10%29.aspx
    Вот что я пока понял - написано не все.
    Нужно установить роль сервера "Службы сертификации Active Directory".
    Что нужно установить из списка?
    • Центр сертификации (это я поставил)
    • Служба регистрации в центре сертификации через Интернет
    • Сетевой ответчик (это я поставил)
    • Служба регистрации на сетевых устройствах
    • Веб-служба регистрации сертификатов (может и это нужно?)
    • Веб-служба политик регистрации сертификатов
    Далее все нужно установить с настройками по умолчанию.
    Thursday, October 22, 2009 1:22 PM
  • Для начала просто примите значения по умолчанию, которые он предлагает. Это минимально необходимый набор. Если чего-то не хватит, то добавить функционал можно и потом

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Thursday, October 22, 2009 1:33 PM
  • Я установил с настройками по умолчанию Центр сертификации и Сетевой ответчик.
    Теперь нужно создать новый шаблон сертификата.
    Читаю руководство http://technet.microsoft.com/ru-ru/library/cc740077%28WS.10%29.asp
    Открыл через mmc оснастку Шаблоны сертификатов.

    Вопрос.
    "Щелкните правой кнопкой мыши шаблон, который необходимо скопировать, и выберите команду Скопировать шаблон ."
    Какой шаблон мне нужно скопировать? Или может что-то другое нужно делать?
    Thursday, October 22, 2009 1:45 PM
  • Шаблон того сертификата, на основании которого вы будете в дальнейшем выдавать сертификат своего CA. И пожалуйста, давайте прямые ссылки)) А то по вашей я такого раздела что-то не нашел
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Thursday, October 22, 2009 2:50 PM
  • Шаблон того сертификата, на основании которого вы будете в дальнейшем выдавать сертификат своего CA. И пожалуйста, давайте прямые ссылки)) А то по вашей я такого раздела что-то не нашел
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Так там 33 шаблона.
    Отображаемое имя шаблона    Минимально поддерживаемые ЦС    Версия    Назначения
    CEP шифрование    Windows 2000    4.1   
    IPSec    Windows 2000    8.1   
    IPSec (автономный запрос)    Windows 2000    7.1   
    RAS и IAS-сервер    Windows Server 2003 Enterprise    101.0    Проверка подлинности клиента, Проверка подлинности сервера
    Агент восстановления EFS    Windows 2000    6.1   
    Агент восстановления ключей    Windows Server 2003 Enterprise    105.0    Агент восстановления ключей
    Агент регистрации    Windows 2000    4.1   
    Агент регистрации (компьютер)    Windows 2000    5.1   
    Агент регистрации Exchange (автономный запрос)    Windows 2000    4.1   
    Администратор    Windows 2000    4.1   
    Базовое шифрование EFS    Windows 2000    3.1   
    Веб-сервер    Windows 2000    4.1   
    Вход со смарт-картой    Windows 2000    6.1   
    Компьютер    Windows 2000    5.1   
    Контроллер домена    Windows 2000    4.1   
    Корневой центр сертификации    Windows 2000    5.1   
    Маршрутизатор (автономный запрос)    Windows 2000    4.1   
    Обмен ЦС    Windows Server 2003 Enterprise    106.0    Архивация закрытого ключа
    Перекрестный центр сертификации    Windows Server 2003 Enterprise    105.0   
    Подписывание кода    Windows 2000    3.1   
    Подписывание отклика OSPC    Windows Server 2008 Enterprise    101.0    Подписание OCSP
    Подписывание списка доверия    Windows 2000    3.1   
    Подчиненный центр сертификации    Windows 2000    5.1   
    Пользователь    Windows 2000    3.1   
    Пользователь Exchange    Windows 2000    7.1   
    Пользователь со смарт-картой    Windows 2000    11.1   
    Почтовая репликация каталога    Windows Server 2003 Enterprise    115.0    Почтовая репликация службы каталогов
    Проверенный сеанс    Windows 2000    3.1   
    Проверка подлинности Kerberos    Windows Server 2003 Enterprise    110.0    Проверка подлинности клиента, Проверка подлинности сервера, Вход со смарт-картой, Проверка подлинности центра распространения ключей
    Проверка подлинности контроллера домена    Windows Server 2003 Enterprise    110.0    Проверка подлинности клиента, Проверка подлинности сервера, Вход со смарт-картой
    Проверка подлинности рабочей станции    Windows Server 2003 Enterprise    101.0    Проверка подлинности клиента
    Только подпись Exchange    Windows 2000    6.1   
    Только подпись пользователя    Windows 2000    4.1   

    Какой шаблон использовать мне для SSL?
    Веб-сервер?
    Thursday, October 22, 2009 3:25 PM
  • Для SSL вы создадите сертификат потом. Сперва вам нужно создать сертификат корневого центра сертификации. Он будет служить, так сказать, "гарантом стабильности в регионе")) При наличии такого сертификата вашему СА будут доверять остальные компьютеры и пользователи. А запросить сертификат для Exchange можно уже позже, из консоли самого Exchange. Как это делается, подробно расписано вот тут
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Friday, October 23, 2009 4:30 AM
  • Спасибо, читаю.
    Через пару часов отпишусь о результатах.
    Friday, October 23, 2009 10:24 AM
  • Не могу создать запрос на сертификат
    Пример
    New-ExchangeCertificate –GenerateRequest –Path c:\hubcas1.txt –SubjectName cn=hubcas1.neilhobson.com –DomainName email.neilhobson.com, hubcas1, hubcas1.neilhobson.com –IncludeAcceptedDomains –IncludeAutodiscover –PrivateKeyExportable $true

    Домен test.local
    Почтовый сервер установлен на exchange.test.local

    У меня получается такой запрос, но он не работает
    New-ExchangeCertificate –GenerateRequest –Path c:\cert.txt –SubjectName cn=exchange.test.local –DomainName exchange.test.local, exchange, mail.test.com –IncludeAcceptedDomains –IncludeAutodiscover –PrivateKeyExportable $true

    Ругается на -Path.

    Убрал path. Получилось так
    New-ExchangeCertificate –GenerateRequest –Path c:\cert.txt –SubjectName cn=exchange.test.local –DomainName exchange.test.local, exchange, mail.test.com –IncludeAcceptedDomains –IncludeAutodiscover –PrivateKeyExportable $true

    Выделил и сохранил в текстовый файл получившийся запрос

    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIIEHTCCAwUCAQAwIjEgMB4GA1UEAwwXZXhjaGFuZ2UudW5pYmVsdXMubG9jYWww
    ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCp5ZZKZZK/Mps9u8VLIfFB

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    ptQfbmZUlve9e3UkVzT909kW7AHIvk9pa2x/pWbocF2y1xOtsRU0+HW7E10rdPIb
    AaMD9pCzQwS6o0ASyMyOS7y+C9j9lTdKwqnUplQ7YnNx8TJXdKzcTvyIuH3CICZg
    QQ==

    -----END NEW CERTIFICATE REQUEST-----
    Friday, October 23, 2009 12:36 PM
  • Уперся в проблему.
    Нужно зайти в веб-интерфейс центра сертификации
    Я добавил Веб-службу регистрации сертификатов.
    Но так и не нашел как в нее войти.
    http://server/certsrv не работает.
    Friday, October 23, 2009 1:25 PM
  • Руслан, давайте начнем разбираться с тем, что Вы наваяли, основательно и делтально.
    Что сообщает Вам PKIView ("pkiview.msc")?..
    Friday, October 23, 2009 6:36 PM
    Answerer
  • Руслан, давайте начнем разбираться с тем, что Вы наваяли, основательно и делтально.
    Что сообщает Вам PKIView ("pkiview.msc")?..
    Saturday, October 24, 2009 11:12 AM
  • Уперся в проблему.
    Нужно зайти в веб-интерфейс центра сертификации
    Я добавил Веб-службу регистрации сертификатов.
    Но так и не нашел как в нее войти.
    http://server/certsrv не работает.

    Вот по этому пути C:\Windows\system32\CertSrv\ru-RU файлы этого сайта есть? В IIS посмотрите, разрешен ли доступ к этому сайту
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Monday, October 26, 2009 6:15 AM
  • Уперся в проблему.
    Нужно зайти в веб-интерфейс центра сертификации
    Я добавил Веб-службу регистрации сертификатов.
    Но так и не нашел как в нее войти.
    http://server/certsrv не работает.

    Вот по этому пути C:\Windows\system32\CertSrv\ru-RU файлы этого сайта есть? В IIS посмотрите, разрешен ли доступ к этому сайту
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    В папке C:\Windows\system32\CertSrv\ нет папки ru-RU.
    Есть только CertEnroll.
    Monday, October 26, 2009 10:52 AM
  • Тьфу)) Я по инерции дал вам путь для русской версии сервера. Вопрос насчет IIS и прав доступа к папке CertSrv остатся в силе


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Monday, October 26, 2009 10:54 AM
  • Тьфу)) Я по инерции дал вам путь для русской версии сервера. Вопрос насчет IIS и прав доступа к папке CertSrv остатся в силе


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    На файловой системе нет доступа для IIS в папку C:\Windows\system32\CertSrv.
    Где в IIS посмотреть, разрешен ли доступ к этому сайту?
    Среди пулов приложений есть:
    DefaultAppPool
    OCSPISAPIAppPool
    WSEnrollmentServer

    В C:\inetpub\wwwroot только старичка по умолчанию.
    В Default Web Site есть ocsp и Test-AD1-CA_CES_Kerberos
    Monday, October 26, 2009 1:05 PM
  • В IIS разворачиваете Default web site, выбираете CertSrv, в правой части окна нажимаете Edit permissions и там смотрите. И еще - у вас установлена роль AD Certificate Services. В Server Manager выберите ее и посмотрите, установлена ли служба роли Certificate authority web enrollment - именно она отвечает за наличие веб-интерфейса.


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Tuesday, October 27, 2009 7:17 AM
  • В IIS разворачиваете Default web site, выбираете CertSrv, в правой части окна нажимаете Edit permissions и там смотрите. И еще - у вас установлена роль AD Certificate Services. В Server Manager выберите ее и посмотрите, установлена ли служба роли Certificate authority web enrollment - именно она отвечает за наличие веб-интерфейса.


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Через 3 часа отпишу.
    Tuesday, October 27, 2009 7:52 AM
  • Если развернуть Default web site, там нет CertSrv, о чем я писал несколькими постами выше.
    Tuesday, October 27, 2009 11:23 AM
  • Вы писали, что нет такого каталога в папке Windows\system 32. Иногда это разные вещи. Служба Certificate authority web enrollment установлена?
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Tuesday, October 27, 2009 11:29 AM
  • У меня установлено из служб сертификации Active Directory:
    Центр сертификации
    Сетевой ответчик
    Веб-служба регистрации сертификатов
    Юрий, а можно как-нибудь голосом пообщаться?
    Скайп, например.
    Уже неделю пытаюсь настроить службы сертификации, а толка нет.
    Tuesday, October 27, 2009 12:20 PM
  • Посмотрел на тестовом стенде. Установлены все службы, кроме сетевого ответчика. Выдача сертификатов работает. Установите оставшиеся службы роли (их всего 6).


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Tuesday, October 27, 2009 12:37 PM
  • Запустил установку всех шести ролей.
    Tuesday, October 27, 2009 12:44 PM
  • Попал в Веб-интерфейс.
    Напоминаю, что я делал выше.
    Я установил Exchange, выполнил создать запрос на сертификат, сохранил запрос в текстовом файле.
    Что делать дальше?
    Tuesday, October 27, 2009 12:48 PM
  • Далее запрашиваем сертификат, выбираем Advansed Request, затем Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file. В появившемся диалоге вставляем содержимое нашего текстового файла, выбираем тип сертификата Web Server, нажимаем Submit, ставим галочку DER Encoded, и жмем Download Certificate. Все, сертификат мы получили. Затем, вооружившись словарем, переходим в восьмую часть данной статьи (ссылки ниже основного текста), чтобы импортировать и активировать сертификат.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Tuesday, October 27, 2009 4:58 PM
  • У меня пусто в шаблонах сертификатов
    Wednesday, October 28, 2009 12:42 PM
  • На какой стадии у вас пусто? Чуть ранее вы говорили, что их у вас более трех десятков.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Wednesday, October 28, 2009 12:46 PM
  • Когда открываешь шаблоны через mmc там их навалом.
    Когда через браузер запрашиваешь сертификат, вставляешь содержимое текстового файла, нужно выбрать шаблон сертификата.
    В этом окошке написано, что шаблоны не найдены.
    Wednesday, October 28, 2009 1:24 PM
  • В консоли IIS создайте сертификат веб-сервера, как написано здесь. Потом повторите процедуру запроса сертификата через веб-интерфейс.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Wednesday, October 28, 2009 1:42 PM
  • Я все сделал:
    установил и настроил службу сертификации
    сформировал запрос на сертификат
    получил сертификат
    импортировал и активировал сертификат.

    Остались пробмемы с эксплуатацией этого сертификата.
    Как внешним клиентам (ноутбукт вне домена) дать возможность работать с Exchange anywhere?
    Когда заходишь доменным компом и юзвером на owa все равно ругается на сертификат.
    Необходимо вручную импортировать сертификат на exchange и центр сертификации.
    Monday, January 18, 2010 3:34 PM
  • Попробуйте импортировать его через доменные политики и утилиту certutil. Посмотрите похожую тему:
    http://social.technet.microsoft.com/Forums/en/winserverGP/thread/be3d3a0c-ac30-4078-8078-13fd03278b70

    Monday, January 18, 2010 6:05 PM
  • Прочитал похожие темы.
    Ничего не понял.
    Может ест официальное руководство?
    Что делать с компами, которые не в домене, но юзеры с них пользуются outlook anywhere?

    Tuesday, January 19, 2010 12:40 PM
  • вот описание certutil c сайта microsoft:
    http://technet.microsoft.com/en-us/library/cc732443(WS.10).aspx
    пример синтаксиса:
    certutil.exe -addstore StoreName mycertificate.cer
    это команда добавит сертификат mycertificate.cer в хранилище StoreName (имена сертификата и хранилища нужно заменить на нужные Вам).
    На компьютерах не в домене эту команду можно выполнить вручную.

    Tuesday, January 19, 2010 12:50 PM
  • Спасибо, начну изучать.

    Tuesday, January 19, 2010 12:52 PM
  • Есть проблема с импортом сертификата на компах вне домена
    Я пробовал (некоторые не важные параметры заменены на test)
    C:\Windows>certutil.exe -addstore Trust certnew.cer
    Trust
    Сертификат "CN=Exchange, OU=IT, O=Test, L=Minsk, S=Test, C=Test" добавлен в х
    ранилище.
    CertUtil: -addstore - команда успешно выполнена.

    C:\Windows>certutil.exe -addstore My certnew.cer
    My
    Сертификат "CN=Exchange, OU=IT, O=Test, L=Test, S=Test, C=Test" добавлен в х
    ранилище.
    CertUtil: -addstore - команда успешно выполнена.

    C:\Windows>certmgr.exe -add -c RootCA.cer -s -r localMachine Root

    Но в браузере все равно ругается на сертификат.

     

     

     

    Monday, January 25, 2010 1:30 PM
  • Help

    Tuesday, January 26, 2010 1:31 PM
  • В хранилище компьютера "доверенные корневые" сертификат Вашего корневого УЦ присутствует? Списки отзыва выпускающего доступны для клиента?

    Tuesday, January 26, 2010 3:02 PM
    Answerer
  • В хранилище компьютера "доверенные корневые" сертификат Вашего корневого УЦ отсутствует.
    В сертификате написано не удается обнаружить поставщика сертификата.
    Как узнать , доступны ли списки отзыва выпускающего для клиента?
    Wednesday, January 27, 2010 1:24 PM
  • Проверить наличие и доступность CRL помогает консоль pkiview.msc. Taк же можете попробовать выполнить следующую команду: certutil -verify -urlfetch <Cert_Name>.crt - эта команда проведет валидацию в вашем контексте безопасности  и попытается выкачать все сертификаты и CRL с источника. Ну и, конечно, же, попробуйте получить сертификат и установить его в хранилище вручную.

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Thursday, January 28, 2010 7:13 AM
  • У меня сертификат с расштрением cer
    Как получить файл в формате crt?
    Я пробовал устанавливать сертификат cer вручную - не помогает.
    Thursday, January 28, 2010 11:17 AM
  • Прошу прощения, сертификат действительно должен быть в формате cer. crt - это немного другой тип.

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Thursday, January 28, 2010 1:29 PM
  • Здравствуйте!
    Почитал топик и у меня есть несколько комментариев.

    > Нужно ли устанавливать сетевой ответчик?

    Online Respinder целесообразно (но совсем не обязательно) устанавливать, если у вас есть клиенты Windows Vista и выше. Windows XP/2003 не поддерживают протокол OCSP.

    > Веб-служба регистрации сертификатов (может и это нужно?)

    эту службу (вместе со службой политик сертификатов) целесообразно устанавливать если у вас есть клиенты Windows 7 и выше. ОС pre-Vista не поддерживают CEP/CES.

    > Сперва вам нужно создать сертификат корневого центра сертификации

    ответ неверный. Корневой сертификат создаётся во время установки компонента Certification Authority.

    > Нужно зайти в веб-интерфейс центра сертификации

    не нужно. Вам достаточно было открыть оснастку certsrv.msc, нажать правой кнопкой на сервере CA и выбрать all task -> Submit new request и указать на ваш файл запроса.

    > Вот по этому пути C:\Windows\system32\CertSrv\ru-RU файлы этого сайта есть?

    эти файлы не появятся пока не будет установлен компонент Enrollment web pages (Certification Authority Web Enrollment). ТС не устанавливал этот компонент, поэтому там файлов не будет.

    > Запустил установку всех шести ролей.

    вам по сути кроме роли CA ничего не надо было устанавливать.

    > В этом окошке написано, что шаблоны не найдены.

    а это потому что Web Enrollment требует наличия HTTPS, которого у вас скорее всего нету.

    > Когда заходишь доменным компом и юзвером на owa все равно ругается на сертификат

    как именно ругается? Можете привести ошибки? Заодно скажите, на какое имя выдан сертификат и по какому адресу вы подключаетесь к OWA?

    > Попробуйте импортировать его через доменные политики и утилиту certutil. Посмотрите похожую тему:
    >
    http://social.technet.microsoft.com/Forums/en/winserverGP/thread/be3d3a0c-ac30-4078-8078-13fd03278b70

    неверно.

    > certutil.exe -addstore StoreName mycertificate.cer

    и это неверно, потому что надо использовать утилиту certreq.exe с параметром accept или сделать так:
    открыть оснастку Certificates с фокусом на Local computer. Зайти в папку Certificate Enrollment Requests и туда импортировать полученный .cer файл. После чего оба файла скомбинируются в один и полученный сертификат мышкой перетащить в Personal.

    > В хранилище компьютера "доверенные корневые" сертификат Вашего корневого УЦ отсутствует.

    для доменных клиентов вы можете сделать так:
    certutil -dspublish -f path\RootCAcert.cer RootCA
    certutil -dspublish -f path\RootCAcert.cer NTAuthCA

    или распространить сертификат посредством групповых политик:
    http://technet.microsoft.com/en-us/library/cc770315(WS.10).aspx
    корневой сертификат добавлять только в Trusted Root Certification Authorities.

    > Что делать с компами, которые не в домене, но юзеры с них пользуются outlook anywhere?

    тут вам придётся переделывать расширения AIA и CDP и по новой переиздавать все сертификаты. А именно, выкинуть ссылки на LDAP и использовать только HTTP.


    http://www.sysadmins.lv
    Saturday, January 30, 2010 10:54 PM
  • Здравствуйте!
    Почитал топик и у меня есть несколько комментариев.

    > Нужно ли устанавливать сетевой ответчик?

    Online Respinder целесообразно (но совсем не обязательно) устанавливать, если у вас есть клиенты Windows Vista и выше. Windows XP/2003 не поддерживают протокол OCSP.

    > Веб-служба регистрации сертификатов (может и это нужно?)

    эту службу (вместе со службой политик сертификатов) целесообразно устанавливать если у вас есть клиенты Windows 7 и выше. ОС pre-Vista не поддерживают CEP/CES.

    > Сперва вам нужно создать сертификат корневого центра сертификации

    ответ неверный. Корневой сертификат создаётся во время установки компонента Certification Authority.

    > Нужно зайти в веб-интерфейс центра сертификации

    не нужно. Вам достаточно было открыть оснастку certsrv.msc, нажать правой кнопкой на сервере CA и выбрать all task -> Submit new request и указать на ваш файл запроса.

    > Вот по этому пути C:\Windows\system32\CertSrv\ru-RU файлы этого сайта есть?

    эти файлы не появятся пока не будет установлен компонент Enrollment web pages (Certification Authority Web Enrollment). ТС не устанавливал этот компонент, поэтому там файлов не будет.

    > Запустил установку всех шести ролей.

    вам по сути кроме роли CA ничего не надо было устанавливать.

    > В этом окошке написано, что шаблоны не найдены.

    а это потому что Web Enrollment требует наличия HTTPS, которого у вас скорее всего нету.

    > Когда заходишь доменным компом и юзвером на owa все равно ругается на сертификат

    как именно ругается? Можете привести ошибки? Заодно скажите, на какое имя выдан сертификат и по какому адресу вы подключаетесь к OWA?

    > Попробуйте импортировать его через доменные политики и утилиту certutil. Посмотрите похожую тему:
    >
    http://social.technet.microsoft.com/Forums/en/winserverGP/thread/be3d3a0c-ac30-4078-8078-13fd03278b70

    неверно.

    > certutil.exe -addstore StoreName mycertificate.cer

    и это неверно, потому что надо использовать утилиту certreq.exe с параметром accept или сделать так:
    открыть оснастку Certificates с фокусом на Local computer. Зайти в папку Certificate Enrollment Requests и туда импортировать полученный .cer файл. После чего оба файла скомбинируются в один и полученный сертификат мышкой перетащить в Personal.

    > В хранилище компьютера "доверенные корневые" сертификат Вашего корневого УЦ отсутствует.

    для доменных клиентов вы можете сделать так:
    certutil -dspublish -f path\RootCAcert.cer RootCA
    certutil -dspublish -f path\RootCAcert.cer NTAuthCA

    или распространить сертификат посредством групповых политик:
    http://technet.microsoft.com/en-us/library/cc770315(WS.10).aspx
    корневой сертификат добавлять только в Trusted Root Certification Authorities.

    > Что делать с компами, которые не в домене, но юзеры с них пользуются outlook anywhere?

    тут вам придётся переделывать расширения AIA и CDP и по новой переиздавать все сертификаты. А именно, выкинуть ссылки на LDAP и использовать только HTTP.


    http://www.sysadmins.lv

    Спасибо за самый большой пост.

    У меня все работает, кроме компов, которые вне домена.
    Как мне настроить сертификат для компов вне домена?
    Можно по подробнее?
    Monday, February 1, 2010 1:55 PM
  • как я вам уже говорил, вам нужно очень много переделать, чтобы обеспечить работу сертификатов вне домена. В частности, предоставить в публичный доступ CRT/CRL файлы по протоколу HTTP. Т.е. выставить в интернет веб-сервер с которого клиенты будут скачивать сертификаты и списки отзыва.
    http://www.sysadmins.lv
    Monday, February 1, 2010 2:29 PM
  • Это не проблема.
    У меня таких клиентов штук 10-20.
    Можно на время дать доступ.
    Или нужен постоянный доступ?
    Monday, February 1, 2010 3:17 PM
  • Это не проблема.
    У меня таких клиентов штук 10-20.
    Можно на время дать доступ.
    Или нужен постоянный доступ?

    Безусловно постоянный доступ. Скажите, у вас есть веб-сервер, который доступен изнутри и снаружи домена?

    На счёт Exchange вам уже там подсказали что делать. Но всё равно будут проблемы с сертификатом, потому что клиенты не могут проверить его на отзыв.

    http://www.sysadmins.lv
    Monday, February 1, 2010 4:14 PM
  • Это не проблема.
    У меня таких клиентов штук 10-20.
    Можно на время дать доступ.
    Или нужен постоянный доступ?

    Безусловно постоянный доступ. Скажите, у вас есть веб-сервер, который доступен изнутри и снаружи домена?

    На счёт Exchange вам уже там подсказали что делать. Но всё равно будут проблемы с сертификатом, потому что клиенты не могут проверить его на отзыв.

    http://www.sysadmins.lv
    У меня в постоянном доступе изнутри и снаружи есть веб-сервер.
    Это Exchange. В частности, PWA.
    Службы сертификации установлены на отдельной виртуальной машине.
    Tuesday, February 2, 2010 12:02 PM
  • отлично. Тогда на веб-сервере создайте виртуальную директорию под веб-сайтом, которая указывает на какую-нибудь папку на сервере (по вашему желанию, например, C:\certdata). Настройте разрешение на папку: IUSR_Computername (для pre-2008) или IIS_IUSR (для 2008 и выше) — Allow Read, учётной записи компьютера CA выдайте Allow Write. После чего расшарьте эту папку по сети и в share permissions добавьте право Change для учётной записи компьютера CA.

    Далее, на сервере CA выполните следующие команды:

    certutil -setreg CA\CACertPublicationURLs "1:file://\\{WebServerName}\CertData\%%1_%%3%%4.crt\n1:%windir%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n2:http://www.domain.com/CertData/%%1_%%3%%4.crt\n1:ldap:///CN=%%7,CN=AIA,CN=Public Key Services,CN=Services,%%6%%11"

    certutil -setreg CA\CRLPublicationURLs "65:file://\\{WebServerName}\CertData\%%3%%8%%9.crl\n65:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n6:http://www.domain.com/CertData/%%3%%8%%9.crl\n65:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key
    Services,CN=Services,%%6%%10"

    WebServerFQDN замените на внутреннее имя вашего веб-сервера.
    www.domain.com замените на публичное имя вашего веб-сервера.

    Данные команды будут автоматически копировать CRT/CRL файлы в расшаренную папку и добавлять HTTP ссылку на скачивание CRT/CRL в издаваемые сертификаты. После выполнения команд перезапустите службу Certificate Services. После перезапуска службы запросите пробный сертификат и убедитесь, что ссылки настроены правильно и из интрнета файлы по этим ссылкам доступны. Если всё будет хорошо, то переиздайте сертификаты для каждого недоменного клиента.


    http://www.sysadmins.lv
    Wednesday, February 3, 2010 6:42 PM
  • То есть будет недостаточно импортировать на недоменные машины сертификат корневого Центра сертификации?
    Wednesday, October 10, 2018 12:25 PM
  • То есть будет недостаточно импортировать на недоменные машины сертификат корневого Центра сертификации?
    не уверен что обсуждение 9 летней давности правильное место для задания нового вопроса

    The opinion expressed by me is not an official position of Microsoft

    Wednesday, October 10, 2018 12:36 PM
    Moderator