none
Не получается "Configure automatic certificate allocation from an enterprise CA". В чём может быть проблема? RRS feed

Ответы

  • Попробуйте создать свой шаблон на основе шаблона "Workstation Authentication": "Certificate Templates: Duplicate", "CA - Templates: New Template To Issue". Потом настройте " Autoenrollment" в объекте ГП.

    Вот статьи для Вас:
    http://technet.microsoft.com/en-us/library/cc732966(WS.10).aspx
    http://technet.microsoft.com/en-us/library/cc732311(WS.10).aspx

    • Помечено в качестве ответа Nikita PanovModerator 28 октября 2009 г. 12:34
    12 октября 2009 г. 10:16
    Отвечающий
  • Так. Во-первых, забудьте о Automatic Certificate request settings. :)

    Давайте проверять.
    1. Вы продублировали шаблон Computer.
    2. Дали на него права группе Domain Computers read, enroll & autoenroll.
    3. Сделали шаблон доступным для выдачи сертификатов.
    4. Создали GPO (либо взяли Default Domain GP) и в Computer Configuration, Policies, Windows Settings, Security Settings, Public Key Policies поставили все галочки в Autoenrollment settings.
    5. Привязали GPO к юниту с нужными вам компьютерами.
    6. делаете на машинках gpupdate /force

    Все. Должны получить сертифкат.

    Automatic Certificate request settings - только для шаблонов версии 1.
    • Предложено в качестве ответа Dmitry PonomarevEditor 15 октября 2009 г. 8:42
    • Помечено в качестве ответа Nikita PanovModerator 28 октября 2009 г. 12:34
    13 октября 2009 г. 12:51

Все ответы

  • PKIView что показывает?..

    Доверие к УЦ предприятия у машины имеется?..

    "dsbblish -root" для сертификата Вашего Root CA сделайте. 

    8 октября 2009 г. 15:07
    Отвечающий
  • 1) Public Key Management показывает вот это, если Вы его имели ввиду:
    http://img131.imageshack.us/img131/8163/02020202.jpg
    Мне кажется, что дело вот в этом "not allowed" рядом с Computer :(
    А этот "not allowed" кроме как апгрейдом до enterprise никак не победить?

    К тому же наткнулся на то, что версия сервера standart, а Configure a certificate template for client autoenrollment разрешено только Enterprise Edition or Datacenter Edition! :( http://technet.microsoft.com/en-us/library/cc875810.aspx

    2) Я пытаюсь это сделать на самом контроллере домена.



    3) Как dsbblish -root сделать не знаю, может подскажете? И что это даст?

    Many thnx!

    8 октября 2009 г. 17:06
  • 1. Нет. Оснастка "pkiview.msc".
    2. Именно (и только) для сертификатов на основе шаблона "Computer" (версии 1) доступен "автовыпуск" сертификатов удостоверяющим центром в составе редакции "Standard" ОС "Windows Server 2003". Не беспокойтесь по поводу значения "Not Allowed" для шаблона "Компьютер", просто к этой версии шаблона не применимы "разрешения автовыдачи".
    3. Смотрите возможности утилиты "certutil". Но, уверен, Вам это не понадобится.

    Политику "Automatic Certificate request Settings" настроили?..
    http://technet.microsoft.com/en-us/library/cc759371(WS.10).aspx.

    Об автовыпуске сертификатов вообще:
    http://technet.microsoft.com/en-us/library/cc706993(WS.10).aspx.

    P.S. Мой Вам совет на будущее: выпускающий УЦ - Enterprise, корневой или ограничивающий - Standard. ;)
    • Предложено в качестве ответа NightWanderer3 9 октября 2009 г. 10:08
    8 октября 2009 г. 20:18
    Отвечающий
  • Вы совершенно правы! Standard сервер не может решить этот вопрос, есть ограничение. Можно обойти эту проблему: есть прога ssldiag.exe, создайте сертификат через неё и импортируйте на новое имя. Должно помочь. 


    NightWanderer3
    8 октября 2009 г. 21:06
  • Вы совершенно правы! Standard сервер не может решить этот вопрос, есть ограничение. Можно обойти эту проблему: есть прога ssldiag.exe, создайте сертификат через неё и импортируйте на новое имя. Должно помочь. 


    NightWanderer3
    Так всё-таки стандарт этого не может или может, в соответствии с тем, что сказал Дмитрий(пункт 2)?
    9 октября 2009 г. 7:59
  • Политику "Automatic Certificate request Settings" настроили?..
    http://technet.microsoft.com/en-us/library/cc759371(WS.10).aspx.
    Не получается http://img223.imageshack.us/img223/7711/03030303.jpg

    1. Нет. Оснастка "pkiview.msc".

    PKIView: http://img185.imageshack.us/img185/7711/03030303.jpg


    9 октября 2009 г. 9:16
  • Так всё-таки стандарт этого не может или может, в соответствии с тем, что сказал Дмитрий(пункт 2)?
    Не может, стандарт очень сильно урезан по отношению к энтерпрайз, даже сравнивать нечего. Если сертификат выпущен Ent, всё будет акцептировано, если стандард - нет.
    SSLDIAG выпускает сертификаты на уровне энтерпрайз и они исполняются. Есть две версии программы. одна только для W2k3, вторая поддерживает w2k8. Ответ Dmitry Ponomarev можно считать очень корректным ответом!
    NightWanderer3
    9 октября 2009 г. 10:08
  • В-общем я обновился до Enterprise R2 SP2, но в групповых политиках создать Automatic Certificate request для Computer не удаётся. Точнее там как было пусто в колонках Name и Computerб так пусто и осталось :(

    Т.к. standart ограничений теперь нет, подскажите, пожалуйста, что и где сделать, чтобы всё стало, как надо? Потому что я уже немного запутался в KBшках! :(

    BIG THNX 2 ALL!

    9 октября 2009 г. 10:40
  • Попробуйте создать свой шаблон на основе шаблона "Workstation Authentication": "Certificate Templates: Duplicate", "CA - Templates: New Template To Issue". Потом настройте " Autoenrollment" в объекте ГП.

    Вот статьи для Вас:
    http://technet.microsoft.com/en-us/library/cc732966(WS.10).aspx
    http://technet.microsoft.com/en-us/library/cc732311(WS.10).aspx

    • Помечено в качестве ответа Nikita PanovModerator 28 октября 2009 г. 12:34
    12 октября 2009 г. 10:16
    Отвечающий
  • Статьи прочитать ещё не успел, но шаблон продублировал.
    Он появился в Certification Authority->certificate Templates->Manage под именем Copy of Computer и version 101.00 и отметкой Allowed, а не Not allowed, как было у просто Computer. 

    Я уж думал всё, но при создании групповой политики такая же ситуация, как и раньше, т.е. в колонках Name и Computer пусто :(

    12 октября 2009 г. 15:26
  • Права на шаблон дали? enroll & autoenroll?
    12 октября 2009 г. 15:46
  • Права на шаблон дали? enroll & autoenroll?

    Да. Сделал, как здесь, только для Computer(Copy of Computer): http://technet.microsoft.com/en-us/library/cc732966(WS.10).aspx
    А потом ещё вот это: http://technet.microsoft.com/en-us/library/cc732311(WS.10).aspx

    Заметил, что у меня, насколько я понимаю, Certificate Services Client - Auto-Enrollment называется Autoenrollment settings и внутри нету никакого enabled/disabled, есть только Enroll/Do not enroll Certificates automatically и 2 чекбокса: Renew expired certificates и Update certificates that use certificate templates. Чекбоксов update pending certificates, and remove revoked certificates нет.

    Ещё по пути Computer Configuration, Policies, Windows Settings, Security Settings, Public Key Policies у меня нет пункта Policies, т.е. я сразу из Computer configuration попадаю в Windows settings.

    Права выставил всем полные, т.е. authenticated users, domain admins,domain computers, enterprise admins, myuser всем full control allow!

    При создании Automatic certificate request всё так же пусто в колонках Name и Computer :((

    После каждого шага gpupdate /force делал и логоф/логин, на всякий случай.

    СКРИНШОТЫ: http://img339.imageshack.us/gal.php?g=99069679.jpg


    Спасибо всем большое за ответы. Жаль дело не двигается :(
    13 октября 2009 г. 7:09
  • Просто там статья для 2008-ой. А вам сюда http://technet.microsoft.com/en-us/library/cc739637(WS.10).aspx.
    13 октября 2009 г. 7:29
  • Просто там статья для 2008-ой. А вам сюда http://technet.microsoft.com/en-us/library/cc739637(WS.10).aspx.

    Мне-то сюда, но я именно так и сделал.
    13 октября 2009 г. 11:30
  • Так. Во-первых, забудьте о Automatic Certificate request settings. :)

    Давайте проверять.
    1. Вы продублировали шаблон Computer.
    2. Дали на него права группе Domain Computers read, enroll & autoenroll.
    3. Сделали шаблон доступным для выдачи сертификатов.
    4. Создали GPO (либо взяли Default Domain GP) и в Computer Configuration, Policies, Windows Settings, Security Settings, Public Key Policies поставили все галочки в Autoenrollment settings.
    5. Привязали GPO к юниту с нужными вам компьютерами.
    6. делаете на машинках gpupdate /force

    Все. Должны получить сертифкат.

    Automatic Certificate request settings - только для шаблонов версии 1.
    • Предложено в качестве ответа Dmitry PonomarevEditor 15 октября 2009 г. 8:42
    • Помечено в качестве ответа Nikita PanovModerator 28 октября 2009 г. 12:34
    13 октября 2009 г. 12:51
  • Спасибо за ответ, но дело в том, что мне бы не хотелось забывать про Automatic Certificate request, т.к. я бы хотел придерживаться инструкций данных в http://technet.microsoft.com/en-us/library/cc781869(WS.10).aspx

    Там в пунктах 6 и 7 чётко сказано про то, что

    6. In Certificate templates, click Computer, and then click Next.

    Your enterprise root CA appears on the list.

    7. Click the CA, click Next, and then click Finish.

    Могли бы вы помочь мне настроить выдачу сертификатов именно так, а не как-то иначе? Почему я не могу увидеть мой enterprise root CA в списке?

    15 октября 2009 г. 8:22
  • Валерий, перечитайте мои сообщения и ответ СыНС. Вы все же попробуйте с "Autoenrollment" и созданием своего шаблона.
    15 октября 2009 г. 8:32
    Отвечающий
  • Могли бы вы помочь мне настроить выдачу сертификатов именно так, а не как-то иначе? Почему я не могу увидеть мой enterprise root CA в списке?
    Ну раз не хотите, не забывайте. :)
    Вы предыдущий шаг выполнили, установили сертификат центра сертификации как доверенный корневой? http://technet.microsoft.com/en-us/library/cc758128(WS.10).aspx 
    Если да, то создаетет запрос, выбираете шаблон сертификата и жмете "финиш". Обновляете групповые политики на ПК и получаете сертификат шаблона Computer версии 1.
    Что касается пунктов 6 и 7, то, полагаю, они были в 2000-ой, а в w2k3  их просто нет(я перепроверил у себя на виртуалках). Поведение мастера поменяли, а документ не исправили. Такое бывает.

    И все же, предложенный Дмитрием и мною способ автоматической выдачи сертификатов имеет больше возможностей. Хотя бы потому, что он работает с шаблонами версии 2 и позволяет разворачивать пользовательские сертификаты.
    15 октября 2009 г. 12:21