none
Центр сертификации RRS feed

  • Вопрос

  • Добрый день!

    Есть лес, в нем 5 доменов. У каждого домена своя служба ИТ

    В корневом домене есть центр сертификации.

    Мне в моем домене необходимо развернуть центр сертификации, но я хочу это сделать максимально независящем от корневого домена.

    Могу ли я в своем домене развернуть центр сертификации и выбрать тип - Корневой ЦС?

    Будут ли проблемы с центром сертификации из смежного домена?

    Права Интерпрайза у меня есть

    Пользоваться ЦС из корневого домена не хотим. т.к. админы корневого домена могут без проблем почистить сертификаты наши и нас даже не предупредить.

    Спасибо!

    2 ноября 2016 г. 8:20

Ответы

  • Можете.

    https://blogs.technet.microsoft.com/askds/2010/08/23/moving-your-organization-from-a-single-microsoft-ca-to-a-microsoft-recommended-pki/

    • Помечено в качестве ответа Pogreb 2 ноября 2016 г. 10:46
    2 ноября 2016 г. 8:40
  • Запрос нужно сделать.

    Проще всего - из оснастки Сертификаты с того компьютера, где сертификат будет использоваться. Но вообще, есть много разных способов сделать запрос - файл запроса с certutil, консоли управления различных ролей, веб-интерфейс - короче, читайте документацию.

    Главное же, следует понимать, что закрытый ключ сертификата остаётся на том компьютере, откуда был инцирован запрос, в соответствующем хранилище - пользователя или компьютера, в зависимости от вида запроса. И если сертификат будет использоваться на другом компьютере или в другом контексте - например, компьютера вместо пользователя - то необходимо будет перенести и закрытый ключ, т.е. он должен быть помечен, как экспортируемый.


    Слава России!

    2 ноября 2016 г. 14:31
  • Из консоли управления центром сертификации можно создать сертификат из файла запроса (в формате PKCS#10,  CMC  и т.п.) - All Tasks|Submit New request

    Но этот файл запроса тоже нужно как-то создать. А при этом - сгенерить пару ключей: закрытый и открытый. Или использовать уже существующую пару. Причём закрытый ключ в ЦС очень часто вообще не передаётся, а остаётся на месте генерации пары, а передаётся только открытый.

    С командной строки файл запроса делается с помощью certutil.exe. Но есть и более удобные способы работы с ЦС. Например - через веб-интерфейс центра сертификации (требуется установка роли службы Certificate Web Enrollment на ЦС)


    Слава России!

    3 ноября 2016 г. 7:26
  • Нужная служба роли в английской версии называется "Certification Authority Web Enrollment", вы её не установили. Как она называется в русской версии, плосмотрите командой Powershell

    Get-WindowsFeature ADCS-Web-Enrollment


    Слава России!

    • Помечено в качестве ответа Pogreb 9 ноября 2016 г. 8:19
    7 ноября 2016 г. 13:48
  • Конфигурирование этой службы ролей делали (там в Server Manager задача с жёлтым значком для этого появляется)?

    Если делали, попробуйте заново сконфигурировать через Powershell

    Uninstall-AdcsWebEnrollment

    Install-AdcsWebEnrollment


    Слава России!

    • Помечено в качестве ответа Pogreb 9 ноября 2016 г. 8:19
    7 ноября 2016 г. 15:33
  • Правой кнопкой мыши на центр сертификации

    На вкладке агент восстановления установил флаг "Архивировать ключ"

    Добавил агента восстановления

    Далее иду в mmc, оснастка сертификаты - локально компьютера

    В разделе личное делаю "Запросить новый сертификат" - выбираю свой шаблон

    Создал сертификат с закрытым ключем

    Этого достаточно? Или надо из mmc его импортировать с закрытым ключем и опять установить в личное в оснастке сертификатов?

    Может я уже по кругу кручу, но у меня уже разрыв идет.

    Созданный мною сертификат я выбираюв NPS но мне при подключении к wifi все равно предлагает выбрать только старый сертификат, а новый не предлагает

    NPS  перезапускал

    "Архивировать ключ" - это вообще не отсюда, это - совсем другая функциональность (RTFM). В английской версии нужный вам параметр называется "Allow private key to be exported", он - сразу под кнопкой Key Permissions.

    Сертификат для EAP/PEAP для NPS должен находиться в хранилище Личные локального компьютера и иметь закрытый ключ. Минимальные требования для сертификата - см. здесь (это из документации для Win2K8, но в Win2012 ничего не поменялось). Скорее всего, у вас длина ключа меньше 2048 (в шаблоне WebServer минимальная длина - меньше).


    Слава России!


    • Изменено M.V.V. _ 8 ноября 2016 г. 16:35
    • Помечено в качестве ответа Pogreb 9 ноября 2016 г. 8:18
    8 ноября 2016 г. 16:04
  • Разрешения правильные и даже избыточные - Запись не требуется.

    Возможно, что после создания/публикации или редактирования разрешений шаблона требуется перезапустить службу сертификации и/или IIS, точно не помню.


    Слава России!


    • Изменено M.V.V. _ 8 ноября 2016 г. 16:06
    • Помечено в качестве ответа Pogreb 9 ноября 2016 г. 8:18
    8 ноября 2016 г. 16:05
  • "Allow private key to be exported", он - сразу под кнопкой Key Permissions.

    Этот пункт я выполнил в шаблоне сертификата Веб-сервера

    Добавил шаблон сертификата в раздел ЦС "Шаблоны сертификата"

    перезапущу и проверю

    • Помечено в качестве ответа Pogreb 9 ноября 2016 г. 8:18
    8 ноября 2016 г. 17:04

Все ответы

  • Можете.

    https://blogs.technet.microsoft.com/askds/2010/08/23/moving-your-organization-from-a-single-microsoft-ca-to-a-microsoft-recommended-pki/

    • Помечено в качестве ответа Pogreb 2 ноября 2016 г. 10:46
    2 ноября 2016 г. 8:40
  • Как то странно, я какой то компонент не установил? Как создать сертификат?

    См. рисунок

    2 ноября 2016 г. 10:48
  • Запрос нужно сделать.

    Проще всего - из оснастки Сертификаты с того компьютера, где сертификат будет использоваться. Но вообще, есть много разных способов сделать запрос - файл запроса с certutil, консоли управления различных ролей, веб-интерфейс - короче, читайте документацию.

    Главное же, следует понимать, что закрытый ключ сертификата остаётся на том компьютере, откуда был инцирован запрос, в соответствующем хранилище - пользователя или компьютера, в зависимости от вида запроса. И если сертификат будет использоваться на другом компьютере или в другом контексте - например, компьютера вместо пользователя - то необходимо будет перенести и закрытый ключ, т.е. он должен быть помечен, как экспортируемый.


    Слава России!

    2 ноября 2016 г. 14:31
  • До этого была роль центра сертификации и там прям из консоли можно было создать сертификат, импортировать его и установить его на сервер
    3 ноября 2016 г. 6:30
  • Из консоли управления центром сертификации можно создать сертификат из файла запроса (в формате PKCS#10,  CMC  и т.п.) - All Tasks|Submit New request

    Но этот файл запроса тоже нужно как-то создать. А при этом - сгенерить пару ключей: закрытый и открытый. Или использовать уже существующую пару. Причём закрытый ключ в ЦС очень часто вообще не передаётся, а остаётся на месте генерации пары, а передаётся только открытый.

    С командной строки файл запроса делается с помощью certutil.exe. Но есть и более удобные способы работы с ЦС. Например - через веб-интерфейс центра сертификации (требуется установка роли службы Certificate Web Enrollment на ЦС)


    Слава России!

    3 ноября 2016 г. 7:26
  • Поставил все 6 пунктов центра сертификации

    На веб интерфейс попасть не могу

    в ИИС нет ничего про certsrv

    Подскажите, что пропустил?

    3 ноября 2016 г. 12:22
  • Перезагрузка сервера тоже не помогла

    На веб интерфейс так я попасть и не могу

    Что мне необходимо сделать, чтобы создать сертификат для веб сервера, т.к. он уже заканчивается и будет простой сервиса

    На сервере где уменя Радиус сервер я запрос сделал, но даный запрос у меня не принимает центр сертификации

    Что я пропустил, спасибо!

    5 ноября 2016 г. 16:38
  • Настроил компонент Веб-служба регистрации сертификатов

    Рестартанул ИИС

    В иисе сайты (см рисунок)

    Через ИЕ так и не смог попасть на веб интерфес центра сертификации по адресу

    http://XXX-att1-ca/cersrv

    Помогите настроить ЦС

    7 ноября 2016 г. 7:44
  • На сервере через иис сделал запрос сертификата

    В ЦС нажимаю "Выдать новый запрос" указываю на txt файл и у меня появляется ошибка

    7 ноября 2016 г. 8:55
  • При запросе к корпоративному ЦС параметр CertificateTemplate является обязательным.

    Как файл запроса делали, почему этого параметра там нет?


    Слава России!

    7 ноября 2016 г. 10:49
  • Я делал запрос через ИИС

    На сервере, куда мне нужен сертификат, я зашел в ИИС

    Далее создать запрос сертификата, там базовые вещи: имя сертификата регион, город и тип шифрования.

    Получил текстовый файл и он не подходит ошибка выше

    7 ноября 2016 г. 11:26
  • Пересоздал ЦС

    Установил 4 роли ЦС:

    Центр сертификации

    Сетевой ответчик

    Веб-служба регистрации сертификатов

    Веб-служба политик регистрации сертификатов

    При настройки роли "центр сертификации" установил как корневой и создал новый ключ

    При настройке роли "Веб-служба регистрации сертификатов" настроил авторизацию "Встроенная учетная запись" остальное по умолчанию

    В ИИС сайта нет

    В C:\Windows\System32\CertSrv  каталога RU-ru нет

    Нужно ли устанавливать сертификат на сервер в доверенные корневые, который расположен в каталоге C:\Windows\System32\CertSrv ?
    • Изменено Pogreb 7 ноября 2016 г. 13:05
    7 ноября 2016 г. 12:22
  • Коллеги помогайте в моей проблеме.....

    Почему же у меня сайт в iis не создается?

    7 ноября 2016 г. 13:47
  • Нужная служба роли в английской версии называется "Certification Authority Web Enrollment", вы её не установили. Как она называется в русской версии, плосмотрите командой Powershell

    Get-WindowsFeature ADCS-Web-Enrollment


    Слава России!

    • Помечено в качестве ответа Pogreb 9 ноября 2016 г. 8:19
    7 ноября 2016 г. 13:48
  • PS C:\Users\NV> Get-WindowsFeature ADCS-Web-Enrollment

    Display Name                                            Name                       Install State
    ------------                                            ----                       -------------
        [X] Служба регистрации в центре сертификации чер... ADCS-Web-Enrollment            Installed

    "Служба регистрации в центре сертификации через Интернет"

    Поставил этот компонент, но в ИИСе так ничего и не появилось

    ИИС резет сделал

    C:\Windows\System32\CertSrv каталог Ru-ru появился



    • Изменено Pogreb 7 ноября 2016 г. 14:29
    7 ноября 2016 г. 13:59
  • Конфигурирование этой службы ролей делали (там в Server Manager задача с жёлтым значком для этого появляется)?

    Если делали, попробуйте заново сконфигурировать через Powershell

    Uninstall-AdcsWebEnrollment

    Install-AdcsWebEnrollment


    Слава России!

    • Помечено в качестве ответа Pogreb 9 ноября 2016 г. 8:19
    7 ноября 2016 г. 15:33
  • Повершелл запустил от админа

    Ответ

     ErrorId ErrorString
     ------- -----------
           0

    Повершелл от моей учетки

    PS C:\Users\NV> Uninstall-AdcsWebEnrollment

    Подтверждение
    Вы действительно хотите выполнить это действие?
    Выполнение операции "Uninstall-AdcsWebEnrollment" над целевым объектом "S-ATT1".
    [Y] Да - Y  [A] Да для всех - A  [N] Нет - N  [L] Нет для всех - L  [S] Приостановить - S  [?] Справка
    (значением по умолчанию является "Y"):y
    Uninstall-AdcsWebEnrollment : CCertSrvSetup::PreUnInstall: Отказано в доступе. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED
    )
    строка:1 знак:1
    + Uninstall-AdcsWebEnrollment
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : NotSpecified: (:) [Uninstall-AdcsWebEnrollment], UnauthorizedAccessException
        + FullyQualifiedErrorId : System.UnauthorizedAccessException,Microsoft.CertificateServices.Deployment.Commands.Web
       Enrollment.UninstallAdcsWebEnrollment

    Я в группе администраторов домена

    7 ноября 2016 г. 17:16
  • Из Powershell в режиме администратора запускали?

    Слава России!

    7 ноября 2016 г. 17:20
  • Да, запускал Powershell от админа

    Ответ

     ErrorId ErrorString
     ------- -----------
           0

    • Изменено Pogreb 7 ноября 2016 г. 18:50
    7 ноября 2016 г. 18:45
  • Коллеги может у меня прав каких либо не хватает для данной операции?
    8 ноября 2016 г. 6:44
  • Коллеги, подскажите по моему вопросу
    8 ноября 2016 г. 8:04
  • В иисе сайт появился, на веь интерфейс зашел

    делаю запрос сертификата, но он не экспортируется с закрытым ключем.

    Я что то пропустил в запросе?

    8 ноября 2016 г. 9:24
  • Чтобы создать через стандартные графические интерфейсы или веб-интерфейс сертификат с экспортируемым закрытым ключом, нужно, чтобы в его шаблоне было указано, что разрешается экспортировать закрытый ключ.

    Для этого в консоли управления шаблонами скопируйте стандартный шаблон WebServer, измените его свойства на вкладке Обработка запроса, добавьте на ЦС изменённый шаблон и создайте сертификат по этому шаблону.

    Альтернативный метод: создавать сертификат с помощью certutil, При этом в ini-файле нужно указать, что ключ должен быть помечен как экспортируемый. Это можно сделать и со стандартным шаблоном WebServer, но способ этот - значительно менее удобный.


    Слава России!

    8 ноября 2016 г. 9:33
  • и создайте сертификат по этому шаблону.

    Все мероприятия до этой фразы сделаны.

    Можно чуточку по подробней как создать сертификат на основе шаблона?

    Из веб интерфейса только два варианта "Пользователь" и "Веб сервер"

    8 ноября 2016 г. 9:41
  • Дайте разрешение на запрос сертификата (ну, и на чтение) на шаблон тому пользователю, от имени которого заходите на веб-интерфейс.


    Слава России!

    8 ноября 2016 г. 9:44
  • Правой кнопкой на шаблон нажимаю и там только (с. рисунок)

    8 ноября 2016 г. 9:51
  • Не могу понять где разрешение делать?
    8 ноября 2016 г. 11:32
  • Не сростается!!!
    8 ноября 2016 г. 12:53
  • Не могу понять где разрешение делать?
    В консоли управления шаблонами. RTFM

    Слава России!

    8 ноября 2016 г. 14:01
  • Правой кнопкой мыши на центр сертификации

    На вкладке агент восстановления установил флаг "Архивировать ключ"

    Добавил агента восстановления

    Далее иду в mmc, оснастка сертификаты - локально компьютера

    В разделе личное делаю "Запросить новый сертификат" - выбираю свой шаблон

    Создал сертификат с закрытым ключем

    Этого достаточно? Или надо из mmc его импортировать с закрытым ключем и опять установить в личное в оснастке сертификатов?

    Может я уже по кругу кручу, но у меня уже разрыв идет.

    Созданный мною сертификат я выбираюв NPS но мне при подключении к wifi все равно предлагает выбрать только старый сертификат, а новый не предлагает

    NPS  перезапускал

    • Помечено в качестве ответа Pogreb 9 ноября 2016 г. 8:18
    • Снята пометка об ответе Pogreb 9 ноября 2016 г. 8:18
    8 ноября 2016 г. 14:13
  • Не могу понять где разрешение делать?

    В консоли управления шаблонами. RTFM

    Слава России!

    всего здесь хватает?

    8 ноября 2016 г. 14:26
  • Правой кнопкой мыши на центр сертификации

    На вкладке агент восстановления установил флаг "Архивировать ключ"

    Добавил агента восстановления

    Далее иду в mmc, оснастка сертификаты - локально компьютера

    В разделе личное делаю "Запросить новый сертификат" - выбираю свой шаблон

    Создал сертификат с закрытым ключем

    Этого достаточно? Или надо из mmc его импортировать с закрытым ключем и опять установить в личное в оснастке сертификатов?

    Может я уже по кругу кручу, но у меня уже разрыв идет.

    Созданный мною сертификат я выбираюв NPS но мне при подключении к wifi все равно предлагает выбрать только старый сертификат, а новый не предлагает

    NPS  перезапускал

    "Архивировать ключ" - это вообще не отсюда, это - совсем другая функциональность (RTFM). В английской версии нужный вам параметр называется "Allow private key to be exported", он - сразу под кнопкой Key Permissions.

    Сертификат для EAP/PEAP для NPS должен находиться в хранилище Личные локального компьютера и иметь закрытый ключ. Минимальные требования для сертификата - см. здесь (это из документации для Win2K8, но в Win2012 ничего не поменялось). Скорее всего, у вас длина ключа меньше 2048 (в шаблоне WebServer минимальная длина - меньше).


    Слава России!


    • Изменено M.V.V. _ 8 ноября 2016 г. 16:35
    • Помечено в качестве ответа Pogreb 9 ноября 2016 г. 8:18
    8 ноября 2016 г. 16:04
  • Разрешения правильные и даже избыточные - Запись не требуется.

    Возможно, что после создания/публикации или редактирования разрешений шаблона требуется перезапустить службу сертификации и/или IIS, точно не помню.


    Слава России!


    • Изменено M.V.V. _ 8 ноября 2016 г. 16:06
    • Помечено в качестве ответа Pogreb 9 ноября 2016 г. 8:18
    8 ноября 2016 г. 16:05
  • "Allow private key to be exported", он - сразу под кнопкой Key Permissions.

    Этот пункт я выполнил в шаблоне сертификата Веб-сервера

    Добавил шаблон сертификата в раздел ЦС "Шаблоны сертификата"

    перезапущу и проверю

    • Помечено в качестве ответа Pogreb 9 ноября 2016 г. 8:18
    8 ноября 2016 г. 17:04