none
Обновление сертификата для корневого ЦС домена RRS feed

  • Вопрос

  • Уважаемые участники форума TechNet!

    Прошу Вас предложить решение следующей проблемы...

    Есть корневой ЦС для домена. В нем установлена политика рассмотрения запросов на сертификаты - вручную. Прошел год и клиент пропустил дату обновления сертификата самого ЦС в связи с чем на сервере в журнале регистрируются нижеследующие события, а сама служба сертификации не желает запускаться вовсе.

    Тип события: Ошибка
    Источник события: Service Control Manager
    Категория события: Отсутствует
    Код события: 7024
    Дата:  29.10.2009
    Время:  7:58:37
    Пользователь:  Н/Д
    Компьютер: MRS
    Описание:
    Служба "Службы сертификации" завершена из-за внутренней ошибки 2148204801 (0x800B0101).

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".


    Тип события: Ошибка
    Источник события: CertSvc
    Категория события: Отсутствует
    Код события: 100
    Дата:  29.10.2009
    Время:  7:57:00
    Пользователь:  Н/Д
    Компьютер: MRS
    Описание:
    Службы сертификации не запущены. Не удается загрузить или проверить текущий сертификат ЦС.  Истек/не наступил срок действия требуемого сертификата при проверке по системным часам или по штампу времени в подписанном файле. 0x800b0101 (-2146762495).

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".


    Тип события: Ошибка
    Источник события: CertSvc
    Категория события: Отсутствует
    Код события: 58
    Дата:  29.10.2009
    Время:  7:57:00
    Пользователь:  Н/Д
    Компьютер: MRS
    Описание:
    Сертификат в цепочке сертификатов ЦС 0 для server просрочен. Истек/не наступил срок действия требуемого сертификата при проверке по системным часам или по штампу времени в подписанном файле. 0x800b0101 (-2146762495).

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

    • Изменено Eurisco 28 июня 2012 г. 6:15
    29 октября 2009 г. 13:09

Ответы

  • Именно из оснастки "Certification Authority" ("certsrv.msc") Вы можете выполнить "Renew CA Certificate". Более того, процедура эта выполняется лишь при остановленной службе "сертификации".

    P.S. Можете воспользоваться и "certutil".

    • Помечено в качестве ответа Eurisco 31 октября 2009 г. 23:47
    30 октября 2009 г. 22:30
    Отвечающий
  • Оснастка "certsrv.msc" - это оснастка управления центром сертификации. При ее запуске выходит ошибка "Управление службами сертификации невозможно. Не найден сетевой путь. 0x80070053 (WIN32: 53).

    При этом, никаких других команд, кроме команды "Перенацелить центр сертификации" (выбрать, к какому ЦС подключить оснастку - в данном случае, только к локальному) и команд из подменю "Вид", там НЕТ.

    А вот работа с утилитой командной строки "certutil" с параметром "-renewCert" решило данную проблему. Спасибо!
    • Помечено в качестве ответа Eurisco 31 октября 2009 г. 23:47
    31 октября 2009 г. 23:30

Все ответы

  • Выполняйте "Renew CA Certificate" ("certsrv.msc"), запускайте службу. Других вариантов я не вижу.

    • Помечено в качестве ответа ILYA [ sie ] SazonovModerator 30 октября 2009 г. 9:08
    • Снята пометка об ответе Eurisco 30 октября 2009 г. 22:18
    29 октября 2009 г. 14:39
    Отвечающий
  • И каким образом можно выполнить команду "Renew CA certificate" ??? Оснастка Службы сертификации (certsrv.msc) не запрускается - ошибка 53 - из-за незапущенной службы сертификации. Служба сертификации сразу после запуска останавливается по причине просроченного сертификата. Через оснастку certmgr.msc для локального компьютера команда обновить сертификат с новым ключом также возвращает ошибку о том, что ЦС не найден...
    • Изменено Eurisco 28 июня 2012 г. 6:15
    30 октября 2009 г. 22:26
  • Именно из оснастки "Certification Authority" ("certsrv.msc") Вы можете выполнить "Renew CA Certificate". Более того, процедура эта выполняется лишь при остановленной службе "сертификации".

    P.S. Можете воспользоваться и "certutil".

    • Помечено в качестве ответа Eurisco 31 октября 2009 г. 23:47
    30 октября 2009 г. 22:30
    Отвечающий
  • Возможно ли на контроллере домена перевести часы на месяц назад с целью подачи заявки на новый сертификат для ЦС, удовлетворения этой заявки, а потом снова перевести время обратно? Чем чреват такой вариант решения с переводом системного времени назад?
    • Изменено Eurisco 28 июня 2012 г. 6:05
    30 октября 2009 г. 22:33
  • Нет. Такой трюк вызовет огромное число проблем. В любом случае, у Вас не получится таким способом продлить жизнь сертификату УЦ.

    Что Вам мешает сделать "Renew CA Certificate", как я Вам советую?..
    30 октября 2009 г. 22:37
    Отвечающий
  • Оснастка "certsrv.msc" - это оснастка управления центром сертификации. При ее запуске выходит ошибка "Управление службами сертификации невозможно. Не найден сетевой путь. 0x80070053 (WIN32: 53).

    При этом, никаких других команд, кроме команды "Перенацелить центр сертификации" (выбрать, к какому ЦС подключить оснастку - в данном случае, только к локальному) и команд из подменю "Вид", там НЕТ.

    А вот работа с утилитой командной строки "certutil" с параметром "-renewCert" решило данную проблему. Спасибо!
    • Помечено в качестве ответа Eurisco 31 октября 2009 г. 23:47
    31 октября 2009 г. 23:30