none
Доверенные корневые CA и AD RRS feed

  • Общие обсуждения

  • Итак, ситуация:

    Есть домен AD под управлением Windows Server 2008.

    Есть рабочие машины на базе Windows XP и Windows 7.

    Некогда существовала доменная политика, явно задающая список доверенных корневых CA (Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Public Key Policies -> Trusted Root Certification Authorities). Назовем ее CAPol. Теперь этой политики нет. Физически.

    В AD заданы корневые CA (CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration).

    Проблема заключается в том, что CA из AD импортируются в список доверенных корневых центров сертификации только на тех компьютерах, на которых никогда ранее не применялась CAPol. На тех же компьютерах которые ранее попадали под действие CAPol список доверенных CA из AD не импортируется.

    Куда копать?

    • Перемещено Vinokurov Yuriy 2 апреля 2010 г. 7:27 (От:Разное)
    • Изменен тип Nikita PanovModerator 30 сентября 2010 г. 8:14 давность
    • Перемещено Xinyan Ma 马欣妍 22 апреля 2012 г. 16:09 move (От:Windows Server 2008)
    26 марта 2010 г. 19:25

Все ответы

  • Здравствуйте, rulek .

    Как я понял у Вас теперь эта политика накатывается только на новые ПК, а на старые - нет, а Вам нужно на старые накатить список СА? Вручную пробовали удалить со старых сертификаты?


    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    6 апреля 2010 г. 11:58
    Модератор
  • > Как я понял у Вас теперь эта политика накатывается только на новые ПК

    политики уже нет. Как она может накатываться?

    > Вручную пробовали удалить со старых сертификаты?

    Ммм..а зачем? Разве вы не знаете про особенность работы групповых политик? А именно тот момент, что когда политика отлинковывается, все значения (кроме значений в разделе GPP), которые определяла данная политика возвращаются в состояние по умолчанию? Иными словами, при отлинковке политики, сертификаты при следующем обновлении политике, в которой они были определены, будут автоматически удалены. Так что же вы собрались удалять?

    2rulek

    А можно чуть более подробней? Попробуйте опубликовать сертификат в AD (в контейнер Certification Authorities) и перезагрузить клиентский компьютер. Появится ли сертификат в локальном хранилище клиента?


    http://www.sysadmins.lv

    6 апреля 2010 г. 19:28
  • политики уже нет. Как она может накатываться?

    Именно так, политики уже нет.

    2rulek

    А можно чуть более подробней? Попробуйте опубликовать сертификат в AD (в контейнер Certification Authorities) и перезагрузить клиентский компьютер. Появится ли сертификат в локальном хранилище клиента?

    Собственно, от политики и решили отказаться именно потому, что новая версия ПО "научилась" самостоятельно публиковать свой сертификат в AD (CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration).

    Нужный сертификат в AD присутствует. После перезагрузки в списке корневых доверенных CA в локальном хранилище клиента этот сертификат появляется только на тех компьютерах, на которых ранее не применялась политика явного указания доверенных корневых CA; на тех, же, где эта политика ранее применялась, в локальном хранилище сертификат отсутствует. Ошибок в event-логе не обнаружено.

    Клиенты - Windows 7 и Windows XP SP3.

    15 апреля 2010 г. 13:01