none
Центр сертификации в windows2012 и работа в IIS6 RRS feed

  • Вопрос

  • Здравствуйте!

    Начну сначала. Стоял домен на windows2008 (КД), второй контроллер стоял на сервере 2012.

    ЦС стоял на windows2008. КД стоял на железке и он просто сдох.

    Все роли я перенес на 2012, однако потерялись сертификаты. Сертификаты нужны были для Exchange 2010.решил поднять на 2012 службу, все удалось поднять. Прочитал вдобавок

    https://social.technet.microsoft.com/Forums/ru-RU/d904fad8-4e9c-41ff-be1c-096e5262714e/-?forum=ws2008r2ru

    Однако, после выпуска сертификата не могу зайти на локальный веб-интерфейс.

    Сама папка с сертификатами размещается по умолчанию

    C:\Windows\System32\CertSrv

    На IIS я и добавлял виртуальный каталог и приложение, но вообщем не добиваюсь  результата. Решил папку CertSrv скопировать в C:\inetpub\wwwroot. Если добавлю в IIS путь"C:\inetpub\wwwroot\CertSrv\ru-RU" то выходит ошибка

    An error occurred on the server when processing the URL. Please contact the system administrator.

    If you are the system administrator please click here to find out more about this error.

    Если же "C:\inetpub\wwwroot\CertSrv\" то

    Ошибка HTTP 403.14 - Forbidden

    Веб-сервер настроен таким образом, чтобы не формировать списка содержимого каталога.

    <fieldset>

    Наиболее вероятные причины:

    • Применяемый по умолчанию документ не настроен для выхода на запрошенный URL-адрес, и средства для просмотра каталога на сервере не активированы.
    </fieldset>

    Подскажите, что я не так делаю? Я в службе сертифкации и IIS только самоучка. Мне ЦС нужен для сервера Exchange, чтобы пользователи извне могли пользоваться прикладными почтовыми программами.

    Спасибо.

    27 марта 2020 г. 13:11

Все ответы

  • Вариантов несколько.

    1. Разворачиваете новый CA, генерите новые сертификаты, привязываете их к сервисам exch и раздаёте корневой CA внешним пользователям. В этом случае сложность будет с раздачей сертификата + подключения мобильных устройств.

    2. Покупаете сертификат от стороннего коммерческого СА. Включаете в SAN все DNS-имена по которым подключаются клиенты, импортируете сертификат на exch и привязываете к службам. Для клиентов ничего делать не надо. 

    27 марта 2020 г. 13:17
  • 1. Я развернул новый СА, сгененрировал новые сертификаты, но пишу же, не могу попасть в веб-интерфейс. Мне нужно попасть в веб-интерфейс, чтобы сертификат выпущенный exch подтвердить.

    Следующие сложности решу, если возникнут. В данный момент мобильные устройства работают нормально, но извне outlook и через owa работают нестабильно. после прочтения литературы, понял, что надо разобраться с сертификатами. А так как у меня нет такого большого опыта по ним, вот и прошу помощи.

    2. Ради внутренней почты покупать коммерческий сертификат не считаю рациональным.

    Есть у кого еще какие рекомендации?

    30 марта 2020 г. 3:39
  • 1. Чтобы использовать WEB для AD CS нужно поставить и настроить Web Enrollment - почитайте

    2. Проверьте также, что вы правильно устанавливаете сертификат.

    3. О какой внутренней почте вы пишите если вы используете мобильные устройства и подключения Outlook/OWA из вне? Поставьте коммерческий сертификат за 10-15к и большинство проблем с внешними подключениями (а точнее все проблемы) будут решены.

    30 марта 2020 г. 6:08
  • 1. Я установил все службы, которые нужны были. Но я именно не могу зайти в веб-интерфейс. Как проверить? Я же пишу, что я не силен в настройке ЦС, поэтому прошу помощи. Прочитал кучу литературы, делал по нескольким статья. Поэтому прошу, если можно пошаговой инструкции.

    2. До второго пункта мне дойти надо, пока я не решил первый пункт.

    3. Выделение финансов на приобретение коммерческого сертификата не предусмотрено и не выделят.

    30 марта 2020 г. 9:21
  • Вы развернули новый CA. Будем считать, что правильно его сконфигурировали.

    Какую именно ошибку вы получаете заходя на https://%Your_CA%/certsrv

    30 марта 2020 г. 9:51
  • Алексей, прошу не бить ногами.Но мне действительно нужна помощь.

    Но вот.

    Ошибка HTTP 403.14 - Forbidden

    Веб-сервер настроен таким образом, чтобы не формировать списка содержимого каталога.

    <fieldset>

    Наиболее вероятные причины:

    • Применяемый по умолчанию документ не настроен для выхода на запрошенный URL-адрес, и средства для просмотра каталога на сервере не активированы.
    </fieldset>
    <fieldset>

    Возможные решения:

    • Если вы не хотите активировать средства просмотра каталога, проследите за тем, чтобы применяемый по умолчанию документ был должным образом настроен и чтобы соответствующий файл существовал.
    • Активация средств просмотра каталога с помощью диспетчера IIS.
      1. Откройте диспетчер IIS.
      2. В просмотре возможностей дважды щелкните элемент "Просмотр каталога".
      3. На панели "Действия" страницы "Просмотр каталога" щелкните элемент "Включить".
    • Убедитесь, что атрибут configuration/system.webServer/directoryBrowse@enabled в файле конфигурации сайта или приложения имеет значение "True".
    </fieldset>

    Подробные сведения об ошибке:

    Модуль    DirectoryListingModule
    Уведомление    ExecuteRequestHandler
    Обработчик    StaticFile
    Код ошибки    0x00000000
    Запрошенный URL-адрес    http://hostname:80/certsrv/
    Физический путь    C:\inetpub\wwwroot\CertSrv\
    Метод входа    Анонимная
    Пользователь, выполнивший вход    Анонимная

    30 марта 2020 г. 10:08
  • Проверьте в IIS что указано в Physical Path.

    Вот пример

    30 марта 2020 г. 10:13
  • Вообще, после установки ЦС, у меня там не появилась эта папка (приложение). Может мне удалить ЦС и заново поставить под Вашим руководством? Может действительно я что-то пропустил или не понял?
    30 марта 2020 г. 10:19
  • А по какому мануалу вы развёртывали AD CS?

    Вот здесь описаны варианты, которые могут вам помочь разобраться с проблемой.

    30 марта 2020 г. 11:22
  • Удалил поставил заново. Результат тот же.

    Настраивал по видео второй раз. https://www.youtube.com/watch?v=NhprXz6kdHw

    Т.к. винда русская. Из указанной вами вариантами, подходит это вроде

    Go into the IIS and select "Default Web Site". In the middle of the page under section "IIS" click an "ASP" and scroll down to: "enable Parent Paths" and set this to "True". This must be done, because the "C:\Windows\System32\certsrv" directory include the "certdat.inc" file. The configuration of this file are using relative paths and if you do not enable the above settings in IIS you will get the known error "ASP 0131 (see logfiles)"

    Не нашел "enable Parent Paths".

    30 марта 2020 г. 11:37
  • В русской локализации это будет аля "включить родительские пути", "задействовать корневые пути" и т.п.

    Есть такое?

    30 марта 2020 г. 11:58
  • Не нашел.

    30 марта 2020 г. 12:08
  • Хотя, спасибо нашел, включил. Результат тот же. Однако, в папке

    "C:\Windows\System32\certsrv"

    отсутствует файл "certdat.inc" file.

    30 марта 2020 г. 12:11
  • Попробуйте удалить роль, далее руками удалить папку "C:\Windows\System32\certsrv" , затем обязательно ребут и снова накатить роль.
    30 марта 2020 г. 12:28
  • Здравствуйте!

    Снес роль, удалил указанную папку, перегрузил, заново поставил. Результат тот же.

    Ошибка HTTP 404.0 - Not Found

    Разыскиваемый вами ресурс был удален, было изменено его имя или он временно недоступен.

    <fieldset>

    Наиболее вероятные причины:

    • Указанный каталог или файл не существует на данном веб-сервере.
    • URL-адрес содержит орфографическую ошибку.
    • Специальный фильтр или модуль, такой как URLScan, ограничивает доступ к файлу.
    </fieldset>

    Так в чем же может быть дело еще? Может попробовать поставить на второй контроллер?

    Прошу помощи.
    31 марта 2020 г. 3:40
  • AD CS лучше поднимать на отдельном хосте, не "смешивая" с КД.

    Попробуйте диагностику и workaround по этой статье.

    31 марта 2020 г. 6:19
  • AD CS лучше поднимать на отдельном хосте, не "смешивая" с КД.

    Попробуйте диагностику и workaround по этой статье.

    1. Хотелось бы, но у меня не хватает уже места на ВМ как ОЗУ так и дискового пространства.

    2. C:\>certutil -ping
    Подключение к *.*\*_KOR-CA-2 ...
    Интерфейс сервера "*-*-CA-2" ICertRequest2 действует (0ms)
    CertUtil: -ping - команда успешно выполнена.

    C:\>Certutil -v -vroot
    Виртуальный корень веба Создан
    Страницы ASP уже включены
    Общий файловый ресурс Создан
    CertUtil: -vroot - команда успешно выполнена.

    C:\Windows\System32\CertSrv>dir
     Том в устройстве C не имеет метки.
     Серийный номер тома: 8426-4031

     Содержимое папки C:\Windows\System32\CertSrv

    30.03.2020  17:47    <DIR>          .
    30.03.2020  17:47    <DIR>          ..
    31.03.2020  11:44    <DIR>          CertEnroll
                   0 файлов              0 байт
                   3 папок  19 821 506 560 байт свободно

    Попробовал зайти локально. Запросил имя пользователя и пароль. набрал от Администратора. Зашел в директорию

    

    [To Parent Directory]

    31.03.2020 11:44 <dir> CertEnroll

    Продолжить дальше?

    31 марта 2020 г. 6:53
  • Сделал, как посоветовали по указанной статье, результат

    [To Parent Directory]

    31.03.2020 16:17 0 home.html

    31 марта 2020 г. 11:25