Principale utente con più risposte
Certificato utente da CA 2003 SBS

Domanda
-
Buongiorno,
è da tempo che sto cercado di emettere dei certificati utente da un CA residente su SBS 2003 con exchange attivo e funzionante. La CA funziona bene per il certificato lato server, ma non riesco in nessun modo ad emettere quello client.
Da Web non lo propone, se da un client in dominio (mmc + snapin certificati) lo chiedo, mi dice che non ci sono ca abilitate o non hanno quei certificati oppure non sono abilitato.
Ho creato allora la richiesta e inserita come avanzata, sono poi andato sulla cA ad emettere, ma anche in questo caso viene scartato e non emesso (errore in registo eventi: Richiesta 37 negata dai Servizi certificati a causa di Il nome del soggetto richiesto non è valido o è troppo lungo. 0x80094001 (-2146877439). La richiesta era per DOMINIO\utente. Ulteriori informazioni: Errore durante la creazione o la pubblicazione del certificato Inoltrata di nuovo da DOMINIO\utente)Dopo ricerche ho anche trovato una rispsta di Microsoft nella quale dice di verificare membri e diritti di CERTSVC_DCOM_ACCESS, verificato tutto ma non è cambiato nulla.
Non so più dove sbattere la testa!
Grazie.
lunedì 25 giugno 2012 10:07
Risposte
-
Eliminando la CA autonoma e reinstallando quella entrerprice utilizzando il medesimo DB e chiavi non si perde nulla e ora è ok.
Riccardo Gavazzi
- Contrassegnato come risposta Riccardo_lcg lunedì 25 marzo 2013 11:18
lunedì 25 marzo 2013 11:18
Tutte le risposte
-
Ho creato allora la richiesta e inserita come avanzata, sono poi andato sulla cA ad emettere, ma anche in questo caso viene scartato e non emesso (errore in registo eventi: Richiesta 37 negata dai Servizi certificati a causa di Il nome del soggetto richiesto non è valido o è troppo lungo. 0x80094001 (-2146877439). La richiesta era per DOMINIO\utente. Ulteriori informazioni: Errore durante la creazione o la pubblicazione del certificato Inoltrata di nuovo da DOMINIO\utente)
Ciao Riccardo,
Ti giro questa KB:
Praticamente il certificato che viene creato dal wizard e il CommonName della Certificate Authority installata non possono essere gli stessi. E' consigliabile creare un certificato con un nome differente dalla CA, oppure reinstallare il ruolo CA con un altro nome.
# How to reinstall the Certification Authority role
Fai un po' di prove e poi aggiornaci,
Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.
lunedì 2 luglio 2012 06:56 -
Ciao e grazie per la risposta!
Purtroppo credo di non aver capito... o forse mi sono spiegato male, aggiungo dei dettagli così forse sarò più chiaro.
Il server sbs si chiama appunto web e il dominio è .local
Il server dall'esterno di raggiunge invece con il nome webmail.dominio.it/exhange per la posta /certsrv per la CA
La CA si chiama web, e io cerco di creare un certificato per l'utente mrossi (utente exchange e Active Directory)
Nessun pc è in domino se non un secondo server non DC e chiamato vpn
Se reinstallo la CA cambiando nome tutti i client di posta che si collegano al server per il quale è stato emesso il certificato https://webmail.miodominio.it e che utilzzano la catena di certificazione web non si collegheranno più fino a quando non riemetto un nuovo certificato ed reistallo la nuova catena con la nuova CA.
Giusto?
Cercando su internet ho visto che accedento /certsrv dopo aver iserito le credenziali e richiesta nuovo certificato, tramite un wizard si è guidati alla richiesta di un certificato utente. Se io accedo invece posso richiedere certificato di posta elettronica - certificato di browser web o richiesta avanzata certificati dove a sua volta trovo come tipi di certificato (autenticazione client, protezione posta elettronica, autenticazione server, firma codice, timestamp, ipsec, altro..)
Altra cosa sulla quale non mi ritrovo nella ca non vedo i modelli dei cerificati se non dall'apposito snapin e separati dalla ca.
Ho provato anche da mmc sul server vpn, richiesta certificato utente e la risposta è quella del primo post. Ho dunque porvato a creare la richiesta ed inserirla da certsrv, andare ad emetterla e da li l'errore riportato per il quale mi hai mandato la kb.
Richiedendo da /certsrv il certificato server tutto fila.
Hemm... scusate, faccio un passo in dietro:
Il tutto nasce dallìesigenza di creare una VPN tramite il secondo server in dominio ed autenticare i client tramite il cerificato utente. Con autenticazione utente e password funziona tutto, la richiestra di verificare il certificato del server pure.
Grazie ancora,
Riccardo.
Riccardo Gavazzi
lunedì 2 luglio 2012 09:55 -
Un pezzetto credo di averlo capito!
In SBS ho installato la CA autonoma e non enterprise, dunque i servizi solo limitati!
Posso passare da una all'altra? Senza però perdere i cerificati e la funzionalità della CA attuale?
Riccardo Gavazzi
martedì 3 luglio 2012 15:29 -
Nessuno sa dirmi se è possibile e come fare a trasformare la CA autonoma in CA enterprise?
Riccardo Gavazzi
martedì 10 luglio 2012 15:59 -
Eliminando la CA autonoma e reinstallando quella entrerprice utilizzando il medesimo DB e chiavi non si perde nulla e ora è ok.
Riccardo Gavazzi
- Contrassegnato come risposta Riccardo_lcg lunedì 25 marzo 2013 11:18
lunedì 25 marzo 2013 11:18 -
Buono a sapersi ;-)
Grazie di aver condiviso le notizie con tutti i membri della community, Riccardo.
Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.
lunedì 25 marzo 2013 11:26