locked
Certificato utente da CA 2003 SBS RRS feed

  • Domanda

  • Buongiorno,
    è da tempo che sto cercado di emettere dei certificati utente da un CA residente su SBS 2003 con exchange attivo e funzionante. La CA funziona bene per il certificato lato server, ma non riesco in nessun modo ad emettere quello client.
    Da Web non lo propone, se da un client in dominio (mmc + snapin certificati) lo chiedo, mi dice che non ci sono ca abilitate o non hanno quei certificati oppure non sono abilitato.
    Ho creato allora la richiesta e inserita come avanzata, sono poi andato sulla cA ad emettere, ma anche in questo caso viene scartato e non emesso (errore in registo eventi: Richiesta 37 negata dai Servizi certificati a causa di Il nome del soggetto richiesto non è valido o è troppo lungo. 0x80094001 (-2146877439). La  richiesta era per DOMINIO\utente. Ulteriori informazioni: Errore durante la creazione o la pubblicazione del certificato  Inoltrata di nuovo da DOMINIO\utente)

    Dopo ricerche ho anche trovato una rispsta di Microsoft nella quale dice di verificare membri e diritti di CERTSVC_DCOM_ACCESS, verificato tutto ma non è cambiato nulla.

    Non so più dove sbattere la testa!

    Grazie.

    lunedì 25 giugno 2012 10:07

Risposte

  • Eliminando la CA autonoma e reinstallando quella entrerprice utilizzando il medesimo DB e chiavi non si perde nulla e ora è ok.


    Riccardo Gavazzi

    • Contrassegnato come risposta Riccardo_lcg lunedì 25 marzo 2013 11:18
    lunedì 25 marzo 2013 11:18

Tutte le risposte

  • Ho creato allora la richiesta e inserita come avanzata, sono poi andato sulla cA ad emettere, ma anche in questo caso viene scartato e non emesso (errore in registo eventi: Richiesta 37 negata dai Servizi certificati a causa di Il nome del soggetto richiesto non è valido o è troppo lungo. 0x80094001 (-2146877439). La  richiesta era per DOMINIO\utente. Ulteriori informazioni: Errore durante la creazione o la pubblicazione del certificato  Inoltrata di nuovo da DOMINIO\utente)

    Ciao Riccardo,

    Ti giro questa KB:

    Request for Certificate Is Denied and a "The Request Subject Name Is Invalid or Too Long" Error Message Occurs

    Praticamente il certificato che viene creato dal wizard e il CommonName della Certificate Authority installata non possono essere gli stessi. E' consigliabile creare un certificato con un nome differente dalla CA, oppure reinstallare il ruolo CA con un altro nome.

    # How to reinstall the Certification Authority role

    Fai un po' di prove e poi aggiornaci,


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    lunedì 2 luglio 2012 06:56
  • Ciao e grazie per la risposta!

    Purtroppo credo di non aver capito... o forse mi sono spiegato male, aggiungo dei dettagli così forse sarò più chiaro.

    Il server sbs si chiama appunto web e il dominio è .local

    Il server dall'esterno di raggiunge invece con il nome webmail.dominio.it/exhange per la posta /certsrv per la CA

    La CA si chiama web, e io cerco di creare un certificato per l'utente mrossi (utente exchange e Active Directory)

    Nessun pc è in domino se non un secondo server non DC e chiamato vpn

    Se reinstallo la CA cambiando nome tutti i client di posta che si collegano al server per il quale è stato emesso il certificato https://webmail.miodominio.it e che utilzzano la catena di certificazione web non si collegheranno più fino a quando non riemetto un nuovo certificato ed reistallo la nuova catena con la nuova CA.

    Giusto?

    Cercando su internet ho visto che accedento /certsrv dopo aver iserito le credenziali e richiesta nuovo certificato, tramite un wizard si è guidati alla richiesta di un certificato utente. Se io accedo invece posso richiedere certificato di posta elettronica - certificato di browser web o richiesta avanzata certificati dove a sua volta trovo come tipi di certificato (autenticazione client, protezione posta elettronica, autenticazione server, firma codice, timestamp, ipsec, altro..)

    Altra cosa sulla quale non mi ritrovo nella ca non vedo i modelli dei cerificati se non dall'apposito snapin e separati dalla ca.

    Ho provato anche da mmc sul server vpn, richiesta certificato utente e la risposta è quella del primo post. Ho dunque porvato a creare la richiesta ed inserirla da certsrv, andare ad emetterla e da li l'errore riportato per il quale mi hai mandato la kb.

    Richiedendo da /certsrv il certificato server tutto fila.

    Hemm... scusate, faccio un passo in dietro:

    Il tutto nasce dallìesigenza di creare una VPN tramite il secondo server in dominio ed autenticare i client tramite il cerificato utente.  Con autenticazione utente e password funziona tutto, la richiestra di verificare il certificato del server pure.

    Grazie ancora,

    Riccardo.


    Riccardo Gavazzi

    lunedì 2 luglio 2012 09:55
  • Un pezzetto credo di averlo capito!

    In SBS ho installato la CA autonoma e non enterprise, dunque i servizi solo limitati!

    Posso passare da una all'altra? Senza però perdere i cerificati e la funzionalità della CA attuale?


    Riccardo Gavazzi

    martedì 3 luglio 2012 15:29
  • Nessuno sa dirmi se è possibile e come fare a trasformare la CA autonoma in CA enterprise?


    Riccardo Gavazzi

    martedì 10 luglio 2012 15:59
  • Eliminando la CA autonoma e reinstallando quella entrerprice utilizzando il medesimo DB e chiavi non si perde nulla e ora è ok.


    Riccardo Gavazzi

    • Contrassegnato come risposta Riccardo_lcg lunedì 25 marzo 2013 11:18
    lunedì 25 marzo 2013 11:18
  • Buono a sapersi ;-)

    Grazie di aver condiviso le notizie con tutti i membri della community, Riccardo.


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    lunedì 25 marzo 2013 11:26