none
Los equipos de dominio no mandan su solicitud de certificado a la Subordinate Enterprise CA. RRS feed

 > 

  • Pregunta

  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Tengo el siguiente problema: La gran mayoría de los equipos de dominio no mandan su solicitud de certificado a la Subordinate Enterprise CA.

    Esto es lo que he hecho:

    1. Mi PKI es como sigue: una Offline Standalone Root CA y una Enterprise subordinate CA.

    2. Le dí permisos de Leer, inscribirse y autoinscribirse a la plantilla de 'Autenticación de estación de trabajo' al grupo de 'Equipos del dominio'.

    3. En requisitos de emisión, le puse que se necesita de mi aprobación.

    4. Añadí la plantilla de 'Autenticación de estación de trabajo' a las plantillas de certificado que se va a emitir.

    5. En la política default de dominio, habilité la opción de 'Cliente de servicios de Certificate Server - Inscripción automática' en habilitada. Y habilité estas opciones dentro de esa política: A. Renovar certificados expirados, actualizar certificados pendientes y quitar certificados revocados. B. Actualizar certificados que usan plantillas de certificados.

    6. Corrí un gpupdate /force desde mi DC y también desde el cliente.

    7. Reviso las políticas resultantes en un equipo unido a dominio y sí esta esa política aplicada

    8. Uso certutil -pulse del lado del cliente para forzar el autoenrollment, pero solo dice que el comando se completó correctamente.

    9. No veo errores en el visor de eventos del lado del Servidor CA: Vistas personalizadas, roles de servidor, Servicios de certificados de AD.

    10. Si abro certmgr.msc y ejecuto: clic derecho a certificados, todas las tareas, inscribir y buscar certificados automáticamente, siguiente; si me muestra la plantilla a la cual le dí permisos de Leer, inscribirse y autoinscribirse, pero cuando le doy inscribir, me sale: 'Error, el parámetro no es correcto'. No sé si esto se deba a que tengo la aprobación de certificados como manual del lado de la plantilla.

    No sé donde más buscar para seguir con el troubleshooting :(

    martes, 8 de marzo de 2011 20:39
    |

Todas las respuestas

  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    - hola luis, ¿q tal?. bueno,respondiendo a tu pregunta,seguramente si sea el problema el tener q emitirlos manualmente,ya q al querer firmar la plantilla q configuraste,salta el error porque el asistente no puede firmarlo al no tener ese permiso,de autoinscribirse.ves a la propiedades de la CA y en la pestaña modulos de directivas,marca la opcion ( Seguir La configuracion de la plantilla de certificados si es aplicable,de otra manera,Emitir el certificado automaticamente).deberia solucionarte ese pequeño problema.el resto de configuracion q nombras,parece corretamente inplementada.Como dato personal te dire que yo uso varios servidores con una estructura de clave prublica y privada de la cual la CA principal le di permisos para la mayor parte de plantillas y a sus propiedades. la segunda CA es una subordinate de empresa,en la cual tengo la misma configuracion q en la primera CA, solo alguna politica cambia,y en la tercera CA,es con la q emito los certificados ,incluida la EXTENED VALIDATION.con barra de direcciones web en verde.mi consejillo,es q uses un server 2008 R2 X64,para la emision total de cualquier certificado,ya q es el unico q permite la llamada a OCSP y a las CRL,aunque el 2003 tambien tiene esa opcion, PERO no esta totalmente desarrollada y hay exploradores q no pueden verificar los revocados, incluido explorer, equipos cliente de un dominio,y/o controlador de dominio.Espero q te haya dado alguna ayudita en el tema.si te gustara hablar y/o compartir informacion al respecto,estare encantado.soy tecnico de IT e informatico graduado,si eso te sirve   :).

    Si solo usas el servicio localmente o intranet, este ultimo dato q escribire no debes tenerlo en cuenta.

    - comprueba tus configuraciones de modem o routers, hay ISP = (Probeedores de servicios de internet),q bloquean ciertos puertos de la IP externa q te hayan asignado.en teoria,deberias de tener el FQDN = (Full cualified domain name) o dominio de internet te asigan tu ISP Y q apunta a tu ip como ZONA AUTORITATIVA,claro esta q de tercer o cuarto nivel, tipo   "IP-EXTERNA.TU-ISP.user.com".esto para q los respondedores de CRL y OCSP sean alcanzables desde cualquier parte de internet externa,solo asi los exploradores podran comprobar q la IP desde la q vienen los certificados es segura y AUTORITATIVA, solo asi, las listas de revocacion seran alcanzables.Los Puertos 80 Y 443 no son los unicos q se necesitan tener abiertos. añade el puerto 636 en TCP al fireware y permitelo,asi igual abrelo en el modem o router en el caso.      hay certificados q se autentifican mediante LDAP SSL para comprobar las politicas de cada usuario.Las CRL  y su certificado correspondiente. El puerto 389 es para si no usas el  SSL para el LDAP.

    Recuerda,si necesitas mas ayuda,escribelo en este foro,ya q no se si puedo poner enlaces en este post para q me localices privadamente.

    Un Saludo

    miércoles, 29 de febrero de 2012 6:58
    |