Buondì, ho un problemino con i certificati, odio questo argomento... :-P
Allora, l'attuale e unico Root CA è un DC W2K3, ma il servizio relativo si spegne dopo qualche secondo. Lo snap-in mi dà errori del tipo "access denied", l'event viewer "application" è costellato di errori vari relativi ai certificati, se provo a fare un export dei certificati mi da "Rpc errors"
Questo server purtroppo non posso più considerarlo e sarà presto usato per altri scopi e devo muovere il ruolo di CA Root sul nuovo W2K8.
Qualcuno sà dirmi i passi da seguire per non creare più casino di quanto già non ce ne sia?
Il nuovo CA root non avrà lo stesso nome del vecchio.
Che io sappia non mi servono a nulla anche perchè il dominio non ha un certificato acquistato...
1- Se apro MMC > Certificati > Current User (Domain admin) > Personal > ce nè uno solo relativo al domain_admin scaduto da 2 anni...
2- Se apro MMC > Certificati > Local Computer (CA_ROOT) > Personal > ce ne sono diversi ma tutti con lo stesso nome e tutti riferiti al Domain controller in questione che ha il ruolo di AD CA... (Uno con template Domain controller e gli altri root certification Authority, questi ultimi tepo di averli creati io tentando il rinnovo)
Se controllo in C:\WINDOWS\system32\certsrv\CertEnroll trovo gli stessi che al punto 2 più 2 liste di revoca di un anno fa....
A parte questo dovrei controllare in altri posti?
MMC > CA > non funge perchè il servizio si arresta dopo averlo avviato...
PS: In questa questione sono proprio ignorante...
nella tua situazione la cosa migliore da fare è mettere in piedi una nuova CA sul server win2k8 e rasare completamente la CA vecchia che, se anche avesse emesso dei certificati, non sarebbe neppure in grado di validarli visto che non rimane in esecuzione quindi procedi pure mettendo in piedi la nuova CA. ciao. Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration https://mvp.support.microsoft.com/Profile/Benussi edo[at]mvps[dot]org
C:\>Certutil.exe -backupkey D:\BACKUP\Certification_Authority Enter new password: Confirm new password: CertUtil: -backupKey command FAILED: 0x8009000b (-2146893813) CertUtil: Key not valid for use in specified state.
C:\>Certutil.exe -backupdb D:\BACKUP\Certification_Authority Full database backup for ITCORDCFP2.gds.com\ITCORDCFP2.GDS.COM. Backing up Database files: 0%CertUtil: -backupDB command FAILED: 0x800706ba (WIN32: 1722) CertUtil: The RPC server is unavailable.
Questo comando non ha nessun effetto positivo:
C:\>certutil -renewCert CertUtil: -renewCert command completed successfully. The CertSvc service may need to be restarted for changes to take effect.
Anche la verifica fallisce e non capisco perchè ho 5 certificati...
C:\>certutil -verifykeys CryptAcquireContext: Key not valid for use in specified state. 0x8009000b (-2146893813) -- ROOT_CA.DOMINIO.COM LoadKeys returned Key not valid for use in specified state. 0x8009000b (-2146893813) Key "ROOT_CA.DOMINIO.COM(1)" verifies as the public key for Certificate "ROOT_CA.DOMINIO.COM(1)" V1.1 Signature test passed
Key "ROOT_CA.DOMINIO.COM(2)" verifies as the public key for Certificate "ROOT_CA.DOMINIO.COM(2)" V2.2 Signature test passed
Key "ROOT_CA.DOMINIO.COM(3)" verifies as the public key for Certificate "ROOT_CA.DOMINIO.COM(3)" V3.3 Signature test passed
Key "ROOT_CA.DOMINIO.COM(4)" verifies as the public key for Certificate "ROOT_CA.DOMINIO.COM(4)" V4.4 Signature test passed
Key "ROOT_CA.DOMINIO.COM(5)" verifies as the public key for Certificate "ROOT_CA.DOMINIO.COM(5)" V5.5 Signature test passed
CertUtil: -verifykeys command FAILED: 0x8009000b (-2146893813) CertUtil: Key not valid for use in specified state.
E certutil -verifystore:
================ Certificate 0 ================ Serial Number: 06376c00aa00648a11cfb8d4aa5c35f4 Issuer: CN=Root Agency Subject: CN=Root Agency Signature matches Public Key Root Certificate: Subject matches Issuer Cert Hash(sha1): fe e4 49 ee 0e 39 65 a5 24 6f 00 0e 87 fd e2 a0 65 fd 89 d4 No key provider information No stored keyset property -------- CERT_CHAIN_CONTEXT -------- ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ChainContext.dwErrorStatus = CERT_TRUST_IS_UNTRUSTED_ROOT (0x20)
Exclude leaf cert: da 39 a3 ee 5e 6b 4b 0d 32 55 bf ef 95 60 18 90 af d8 07 09 Full chain: fe e4 49 ee 0e 39 65 a5 24 6f 00 0e 87 fd e2 a0 65 fd 89 d4 Issuer: CN=Root Agency Subject: CN=Root Agency Serial: 06376c00aa00648a11cfb8d4aa5c35f4 fe e4 49 ee 0e 39 65 a5 24 6f 00 0e 87 fd e2 a0 65 fd 89 d4 A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487) ------------------------------------ Verifies against UNTRUSTED root
================ Certificate 1 ================ Serial Number: 6757b2ff741b6cbc493137ef0fa2b87b Issuer: CN=VECCHIO1, DC=dominio, DC=com Subject: CN=VECCHIO1, DC=dominio, DC=com Certificate Template Name: CA CA Version: V0.0 Signature matches Public Key Root Certificate: Subject matches Issuer Template: CA, Root Certification Authority Cert Hash(sha1): c7 28 6f 38 99 5c 17 a4 17 be ca 14 be fb 59 af de 83 f6 66 Key Container = VECCHIO1 Provider = Microsoft Strong Cryptographic Provider Verified Issuance Policies: All Verified Application Policies: All Certificate is valid
================ Certificate 2 ================ Serial Number: 2d5b486c06d9b59e4492b2ac85571857 Issuer: CN=dominioca, DC=dominio, DC=com Subject: CN=dominioca, DC=dominio, DC=com Certificate Template Name: CA CA Version: V0.0 Signature matches Public Key Root Certificate: Subject matches Issuer Template: CA, Root Certification Authority Cert Hash(sha1): a4 5b dd 04 02 c2 ea dc f8 21 32 66 0d 50 72 17 46 33 e2 0b Key Container = dominioca Provider = Microsoft Strong Cryptographic Provider Verified Issuance Policies: All Verified Application Policies: All Certificate is valid
================ Certificate 3 ================ Serial Number: 236c971e2bc60d0bf97460def108c3c3 Issuer: OU=Class 3 Public Primary Certification Authority, O=VeriSign, Inc., C=US Subject: OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign, OU=VeriSign International Server CA - Class 3, OU=VeriSign, Inc., O=VeriSign Trust Network Non-root Certificate Cert Hash(sha1): 8b 24 cd 8d 8b 58 c6 da 72 ac e0 97 c7 b1 e3 ce a4 dc 3d c6 No key provider information No stored keyset property -------- CERT_CHAIN_CONTEXT -------- ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ChainContext.dwErrorStatus = CERT_TRUST_IS_NOT_TIME_VALID (0x1) ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Exclude leaf cert: 8b 24 cd 8d 8b 58 c6 da 72 ac e0 97 c7 b1 e3 ce a4 dc 3d c6 Full chain: 5b 7f 91 2f ee c6 b2 d3 a6 19 7e 92 e2 03 ff 20 92 29 f6 f6 Issuer: OU=Class 3 Public Primary Certification Authority, O="VeriSign, Inc.", C=US Subject: OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign, OU=VeriSign International Server CA - Class 3, OU="VeriSign, Inc.", O=VeriSign Trust Network Serial: 236c971e2bc60d0bf97460def108c3c3 8b 24 cd 8d 8b 58 c6 da 72 ac e0 97 c7 b1 e3 ce a4 dc 3d c6 A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495) ------------------------------------ Expired certificate
================ Certificate 4 ================ Serial Number: 52c820137c85a7edf217ce82c8451673 Issuer: OU=Class 2 Public Primary Certification Authority, O=VeriSign, Inc., C=US Subject: CN=VeriSign Class 2 CA - Individual Subscriber, OU=www.verisign.com/repository/RPA Incorp. By Ref.,LIAB.LTD(c)98, OU=VeriSign Trust Network, O=VeriSign, Inc. Non-root Certificate Cert Hash(sha1): 7b 02 31 2b ac c5 9e c3 88 fe ae 12 fd 27 7f 6a 9f b4 fa c1 No key provider information No stored keyset property -------- CERT_CHAIN_CONTEXT -------- ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ChainContext.dwErrorStatus = CERT_TRUST_IS_NOT_TIME_VALID (0x1) ChainContext.dwRevocationFreshnessTime: 82 Days, 10 Hours, 52 Minutes, 58 Seconds
Exclude leaf cert: ee e2 83 e2 a9 78 60 a9 87 ad 1c 81 b4 6e b9 71 00 4a a2 8a Full chain: 36 bf 8e 5c 2c 9f 9f 50 9e 1f 82 c6 14 e5 12 52 ec f9 2f 96 Issuer: OU=Class 2 Public Primary Certification Authority, O="VeriSign, Inc.", C=US Subject: CN=VeriSign Class 2 CA - Individual Subscriber, OU="www.verisign.com/repository/RPA Incorp. By Ref.,LIAB.LTD(c)98", OU=VeriSign Trust Network, O="VeriSign, Inc." Serial: 52c820137c85a7edf217ce82c8451673 7b 02 31 2b ac c5 9e c3 88 fe ae 12 fd 27 7f 6a 9f b4 fa c1 A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495) ------------------------------------ Expired certificate
================ Certificate 5 ================ Serial Number: 59061ffdf5c7629a43dbacc29ddf4d4a Issuer: CN=ROOT_CA.DOMINIO.COM, DC=dominio, DC=com Subject: CN=ROOT_CA.DOMINIO.COM, DC=dominio, DC=com Certificate Template Name: CA CA Version: V0.0 Signature matches Public Key Root Certificate: Subject matches Issuer Template: CA, Root Certification Authority Cert Hash(sha1): 15 21 89 71 14 58 52 28 d3 6a 07 84 4f f2 23 71 5a cb b4 34 Key Container = ROOT_CA.DOMINIO.COM Provider = Microsoft Strong Cryptographic Provider Verified Issuance Policies: All Verified Application Policies: All Certificate is valid
================ Certificate 6 ================ Serial Number: 0d8b4feeaad2185bf4756a9d29e17ffb Issuer: OU=Class 1 Public Primary Certification Authority, O=VeriSign, Inc., C=US Subject: CN=VeriSign Class 1 CA Individual Subscriber-Persona Not Validated, OU=www.verisign.com/repository/RPA Incorp. By Ref.,LIAB.LTD(c)98, OU=VeriSign Trust Network, O=VeriSign, Inc. Non-root Certificate Cert Hash(sha1): 12 51 9a e9 cd 77 7a 56 01 84 f1 fb d5 42 15 22 2e 95 e7 1f No key provider information No stored keyset property -------- CERT_CHAIN_CONTEXT -------- ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ChainContext.dwErrorStatus = CERT_TRUST_IS_NOT_TIME_VALID (0x1) ChainContext.dwRevocationFreshnessTime: 82 Days, 10 Hours, 52 Minutes, 58 Seconds
Exclude leaf cert: ff 0e 35 6a 65 20 e9 bc 84 11 a6 0f 5d e8 73 d9 00 f1 e1 b4 Full chain: 0f e3 f8 32 25 95 b5 98 bc 62 ac 44 d8 07 53 93 8b 78 76 97 Issuer: OU=Class 1 Public Primary Certification Authority, O="VeriSign, Inc.", C=US Subject: CN=VeriSign Class 1 CA Individual Subscriber-Persona Not Validated, OU="www.verisign.com/repository/RPA Incorp. By Ref.,LIAB.LTD(c)98", OU=VeriSign Trust Network, O="VeriSign, Inc." Serial: 0d8b4feeaad2185bf4756a9d29e17ffb 12 51 9a e9 cd 77 7a 56 01 84 f1 fb d5 42 15 22 2e 95 e7 1f A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495) ------------------------------------ Expired certificate
================ Certificate 7 ================ Serial Number: 49b92e6fec212e8a443753b14fbca49a Issuer: CN=ROOT_CA, DC=dominio, DC=com Subject: CN=ROOT_CA, DC=dominio, DC=com Certificate Template Name: CA CA Version: V0.0 Signature matches Public Key Root Certificate: Subject matches Issuer Template: CA, Root Certification Authority Cert Hash(sha1): 11 45 81 a8 f7 57 8b 03 5c 5e 1a b2 43 91 46 be c9 64 48 c7 Key Container = ROOT_CA Provider = Microsoft Strong Cryptographic Provider Verified Issuance Policies: All Verified Application Policies: All Certificate is valid
================ Certificate 8 ================ Serial Number: 198b11d13f9a8ffe69a0 Issuer: CN=Microsoft Root Authority, OU=Microsoft Corporation, OU=Copyright (c) 1997 Microsoft Corp. Subject: CN=Microsoft Windows Hardware Compatibility, OU=Microsoft Corporation, OU=Microsoft Windows Hardware Compatibility Intermediate CA, OU=Copyright (c) 1997 Microsoft Corp. Non-root Certificate Cert Hash(sha1): 10 9f 1c ae d6 45 bb 78 b3 ea 2b 94 c0 69 7c 74 07 33 03 1c No key provider information No stored keyset property -------- CERT_CHAIN_CONTEXT -------- ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ChainContext.dwErrorStatus = CERT_TRUST_IS_NOT_TIME_VALID (0x1) ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Exclude leaf cert: 10 9f 1c ae d6 45 bb 78 b3 ea 2b 94 c0 69 7c 74 07 33 03 1c Full chain: d4 73 fa 78 ca 87 86 5a d8 0e 44 1d e8 41 2f de dd d5 b0 5c Issuer: CN=Microsoft Root Authority, OU=Microsoft Corporation, OU=Copyright (c) 1997 Microsoft Corp. Subject: CN=Microsoft Windows Hardware Compatibility, OU=Microsoft Corporation, OU=Microsoft Windows Hardware Compatibility Intermediate CA, OU=Copyright (c) 1997 Microsoft Corp. Serial: 198b11d13f9a8ffe69a0 10 9f 1c ae d6 45 bb 78 b3 ea 2b 94 c0 69 7c 74 07 33 03 1c A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495) ------------------------------------ Expired certificate
Event Type: Error Event Source: CertSvc Event Category: None Event ID: 100 Date: 02-Mar-10 Time: 11:39:28 AM User: N/A Computer: ROOT_CA Description: Certificate Services did not start: Could not load or verify the current CA certificate. ROOT_CA.DOMINIO.COM Key not valid for use in specified state. 0x8009000b (-2146893813).
Event Type: Error Event Source: AutoEnrollment Event Category: None Event ID: 13 Date: 02-Mar-10 Time: 8:59:48 AM User: N/A Computer: ROOT_CA Description: Automatic certificate enrollment for local system failed to enroll for one Domain Controller certificate (0x80070005). Access is denied.
Event Type: Error Event Source: AutoEnrollment Event Category: None Event ID: 16 Date: 02-Mar-10 Time: 12:59:49 AM User: N/A Computer: ROOT_CA Description: Automatic certificate enrollment for local system failed to renew one Domain Controller certificate (0x8009000b). Key not valid for use in specified state.
Buondì, ho un problemino con i certificati, odio questo argomento... :-P
Allora, l'attuale e unico Root CA è un DC W2K3, ma il servizio relativo si spegne dopo qualche secondo. Lo snap-in mi dà errori del tipo "access denied", l'event viewer "application" è costellato di errori vari relativi ai certificati, se provo a fare un export dei certificati mi da "Rpc errors"
Questo server purtroppo non posso più considerarlo e sarà presto usato per altri scopi e devo muovere il ruolo di CA Root sul nuovo W2K8.
Qualcuno sà dirmi i passi da seguire per non creare più casino di quanto già non ce ne sia?
Il nuovo CA root non avrà lo stesso nome del vecchio.
Grazie a tutti.
i certificati finora emessi dalla vecchia CA li devi mantenere ?Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration https://mvp.support.microsoft.com/Profile/Benussi edo[at]mvps[dot]org
Che io sappia non mi servono a nulla anche perchè il dominio non ha un certificato acquistato...
1- Se apro MMC > Certificati > Current User (Domain admin) > Personal > ce nè uno solo relativo al domain_admin scaduto da 2 anni...
2- Se apro MMC > Certificati > Local Computer (CA_ROOT) > Personal > ce ne sono diversi ma tutti con lo stesso nome e tutti riferiti al Domain controller in questione che ha il ruolo di AD CA... (Uno con template Domain controller e gli altri root certification Authority, questi ultimi tepo di averli creati io tentando il rinnovo)
Se controllo in C:\WINDOWS\system32\certsrv\CertEnroll trovo gli stessi che al punto 2 più 2 liste di revoca di un anno fa....
A parte questo dovrei controllare in altri posti?
MMC > CA > non funge perchè il servizio si arresta dopo averlo avviato...
Che io sappia non mi servono a nulla anche perchè il dominio non ha un certificato acquistato...
1- Se apro MMC > Certificati > Current User (Domain admin) > Personal > ce nè uno solo relativo al domain_admin scaduto da 2 anni...
2- Se apro MMC > Certificati > Local Computer (CA_ROOT) > Personal > ce ne sono diversi ma tutti con lo stesso nome e tutti riferiti al Domain controller in questione che ha il ruolo di AD CA... (Uno con template Domain controller e gli altri root certification Authority, questi ultimi tepo di averli creati io tentando il rinnovo)
Se controllo in C:\WINDOWS\system32\certsrv\CertEnroll trovo gli stessi che al punto 2 più 2 liste di revoca di un anno fa....
A parte questo dovrei controllare in altri posti?
MMC > CA > non funge perchè il servizio si arresta dopo averlo avviato...
PS: In questa questione sono proprio ignorante...
nella tua situazione la cosa migliore da fare è mettere in piedi una nuova CA sul server win2k8 e rasare completamente la CA vecchia che, se anche avesse emesso dei certificati, non sarebbe neppure in grado di validarli visto che non rimane in esecuzione quindi procedi pure mettendo in piedi la nuova CA. ciao. Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration https://mvp.support.microsoft.com/Profile/Benussi edo[at]mvps[dot]org
nella tua situazione la cosa migliore da fare è mettere in piedi una nuova CA sul server win2k8 e rasare completamente la CA vecchia che, se anche avesse emesso dei certificati, non sarebbe neppure in grado di validarli visto che non rimane in esecuzione quindi procedi pure mettendo in piedi la nuova CA. ciao.
Probabilmente non riesce a stare in piedi anche perche "IIS admin" service non parte più da diverso tempo...
Mi sono venute in mente un paio di cose che utilizzano il certificato del server...
1- Il firewall - Single-Sign-On 2- Acceleratore WAN - Per comprimere il traffico SSL da e verso i vari Domain controller.
per il solo certificato del server puoi rifare tranquillmente la CA.Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration https://mvp.support.microsoft.com/Profile/Benussi edo[at]mvps[dot]org
Probabilmente non riesce a stare in piedi anche perche "IIS admin" service non parte più da diverso tempo...
la funzionalità di una CA è indipendente dal funzionamento di IIS admin.Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration https://mvp.support.microsoft.com/Profile/Benussi edo[at]mvps[dot]org
Ok, posso seguire questo per pulire i certificati dal dominio? http://support.microsoft.com/default.aspx/kb/555151
Una volta fatto posso disinstallare il servizio e poi posso re-installarlo sul W2k8 creando una CA nuova senza problemi?
si, segui pure quell'articolo della kb.
esattamente dovrai disinstallare la CA vecchia, installare la CA nuova sul win2k8 e renderla trusted nelle domain policies. ciao.Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration https://mvp.support.microsoft.com/Profile/Benussi edo[at]mvps[dot]org
Root Certification Authority AD CS
