none
Enroll on behalf of: Подтверждение сертификата - Сертификаты недоступны RRS feed

  • Вопрос

  • Добрый день, господа!

    В нашей инфраструктуре был развернут PKI на основе Microsoft AD CS. Он состоит из standalone-root CA и Enterprise issuing CA.

    Т.к. нам необходимо контролировать процесс выпуска пользовательских сертификатов были выпущены сертификаты Enrollment Agent на основе дубликата соответствующего шаблона в хранилище. Однако, после установки данного сертификата на рабочей станции, которая планируется к использованию Enrollment Agent-ом для выпуска пользовательских сертификатов, при попытке выбора сертификата, которым будет подписан запрос на выпуск пользовательского сертификата, выходит окно что нет сертификатов Enrollment Agent, которые удовлетворяют критериям (т.е. нет доступных сертификатов, хотя сертификат Enrollment Agent-а установлен в хранилище пользователя в папку Private).

    В связи с этим вопрос - куда копать, в чем может быть причина? Подскажите, пожалуйста, может кто сталкивался с такой проблемой и удалось ее решить?

    P.S.: Центры сертификации подняты на основе Microsoft Windows Server 2016. в качестве рабочей станции Enrollment Agent-а используется ПК на базе Windows 7. Необходимые списки отзыва сертификатов доступны по сети. Сертификаты RootCA и SubCA установлены.

    Также замечено, что если установить сертификат Enrollment Agent на издающем сервере (т.е. на Enterprise issuing server), то сообщения что нет доступных сертификатов, не выходит и можно осуществить штатно процедуру Enroll on behalf of.

    Заранее спасибо за помощь :-)

    9 августа 2019 г. 5:41

Ответы

  • Решение проблемы найдено:

    На рабочей станции Enrollment Agent в ветке реестра HKLM\Software\microsoft\EnterpriseCertificates\NTAuth\Certificates был добавлен ключ, указывающий на издающий центр сертификации

    Подробнее: https://support.microsoft.com/en-us/help/295663/how-to-import-third-party-certification-authority-ca-certificates-into

    • Помечено в качестве ответа gtsoy 12 августа 2019 г. 12:41
    12 августа 2019 г. 12:41

Все ответы

  • У сертификатов Enrollment Agent (которые на основе дубликата шаблона) на закладке Issuance Requirements в Application Policy указано "Certificate Request Agent"?
    9 августа 2019 г. 8:03
  • Нет, не указано
    9 августа 2019 г. 10:31
  • Попробуйте указать (в рамках нового шаблона) и проверить помогло ли.
    9 августа 2019 г. 11:31
  • Спасибо за ответ. получилось следующее:

    1. был создан новый дубликат шаблона Enrollment Agent с настройками Application Policy = "Certificate Request Agent", соответственно в этом шаблоне This number of authorized signatures > 0 (у меня = 1)

    2. на рабочей станции попробовал выпустить сертификат Enrollment Agent на основе нового шаблона, оснастка попросила подписать запрос, т.к. сделаны настройки согласно пункту 1.  При выборе сертификата, которым можно подписать запрос (т.е. сертификата Enrollment Agent) оснастка таки дала выбрать уже установленный сертификат (т.е. сертификат Enrollment Agent выпущенный на основе старого шаблона).

    3. после установки сертификата Enrollment Agent, выпущенного на основе нового шаблона, сделана попытка выпустить сертификат для простого пользователя при помощи функции Enroll on behalf of. Оснастка опять говорит что нет подходящих сертификатов Enrollment Agent. Т.е. проблема по-сути осталась.

    9 августа 2019 г. 12:26
  • Решение проблемы найдено:

    На рабочей станции Enrollment Agent в ветке реестра HKLM\Software\microsoft\EnterpriseCertificates\NTAuth\Certificates был добавлен ключ, указывающий на издающий центр сертификации

    Подробнее: https://support.microsoft.com/en-us/help/295663/how-to-import-third-party-certification-authority-ca-certificates-into

    • Помечено в качестве ответа gtsoy 12 августа 2019 г. 12:41
    12 августа 2019 г. 12:41