none
ошибка корневого сертификата MS CA на DC RRS feed

  • Вопрос

  • Коллеги, доброго времени суток!

    Имею такую вот проблему. В организации развернута MS CA на базе Windows Server 2008 Enterprise edition в режиме Enterprise. Необходимо настроить авторизацию пользователя посредством проверки сертификата. записанного на смарт-карту (етокен). Необходимые шаблоны в MS CA я создал (Вход со смарт картой, Пользователь смарт-карты), через агента получил сертификат и записал его на токен. На специальном тестовом сервере терминалов настроена локальная политика безопасности на вход по смарт карте. При попытке авторизоваться получил ошибку: The system could not log you on. Your credential coul not be verified. Поразбиравшись, обнаружил, что на контроллере домена выпущенный корневой сертификат CA помечен красным крестом с ошибкой: Этот сертификат содержит недействительную цифровую подпись. При этом на других серверах проблем с этим сертификатом нет. Думаю, что и авторизация не проходит именно по этой причине. Подскажите, что можно сделать в этой ситуации?

    19 ноября 2012 г. 15:13

Ответы

  • проблема решилась установкой КриптоПро 3.6 на контроллерах домена. Скорее DC не мог распознать электронную подпись root'овского сертификата, выпущенного по алгоритму ГОСТ с использованием CSP Крипто-Про 3.6.

     

    Спасибо M.V.V. _ за наводящий вопрос =) 

    • Помечено в качестве ответа mr. Anderson 21 ноября 2012 г. 12:53
    21 ноября 2012 г. 12:52

Все ответы

  • Сразу вопрос: контроллеры домена - все Win2K8 или есть Win2K3?

    И какой ключ (и сколько бит) и алгоритм подписи используется в сертификате?


    Слава России!

    19 ноября 2012 г. 23:06
  • все Win2K8/Win2K8R2

    Ключ использует алгоритм подписи

    ГОСТ Р 34.11/34.10-2001

    для этого перед установкой CA на сервере был установлен КриптоПро CSP3.6

    используется 512 бит. версия сертификата V3.

    20 ноября 2012 г. 5:22
  • проблема решилась установкой КриптоПро 3.6 на контроллерах домена. Скорее DC не мог распознать электронную подпись root'овского сертификата, выпущенного по алгоритму ГОСТ с использованием CSP Крипто-Про 3.6.

     

    Спасибо M.V.V. _ за наводящий вопрос =) 

    • Помечено в качестве ответа mr. Anderson 21 ноября 2012 г. 12:53
    21 ноября 2012 г. 12:52