Добрый день!
Подскажите пожалуйста, столкнулся со следующей проблемой..
Учетная запись NT AUTHORITY\SYSTEM не использует клиентский сертификат при доступе к IIS. На IIS настроено требование клиентского сертификата. Цепочка сертификатов валидная. CRL доступен учетной записи NT AUTHORITY\SYSTEM.
Проблема наблюдается с утилитой шифрования RMSBULK и компонентом файловой службы FCI (File Classificated Infrastructure), когда пытаются получить лицензию из под учетной записи System на шифрование на сервере RMS, IIS которого требует клиентский
сертификат. В случае с FCI, функция RMS шифрования работает только с Local System (NT AUTHORITY\SYSTEM).
Если RMSBULK запускать из под учетной записи пользователя домена, то проблем никаких не наблюдается, сертификат клиента используется для SSL соединения и лицензия RMS на шифрование выдается пользователю.
Проверил доступность закрытого ключа сертификата компьютера у учетной записи Local System (запустив CMD из под нее) с помощью следующей утилиты:
winhttpcertcfg -l -c LOCAL_MACHINE\My -s "CertFCIservice"
Результат положительный:
Matching certificate:
CN=CertFCIservice
Additional accounts and groups with access to the private key include:
BUILTIN\Administrators
NT AUTHORITY\SYSTEM
Что удивительно, если запустить Internet Explorer из под Local System, то сертификат клиента используется и страница лицензий RMS https://rms.domain.com/_wmcs/licensing/license.asmx доступна.
Итого проблема заключается в том, чтобы учетная запись NT AUTHORITY\SYSTEM использовала клиентский сертификат для SSL соединения с IIS сервера RMS через CMD.
Много перечитал форумов, посмотрел групповые политики, решения не нашел.
Буду признателен любой помощи, заранее спасибо!