none
RMSbulk и FCI из под NT AUTHORITY\SYSTEM не используют клиентский сертификат при доступе к IIS RRS feed

  • Вопрос

  • Добрый день!

    Подскажите пожалуйста, столкнулся со следующей проблемой..

    Учетная запись NT AUTHORITY\SYSTEM не использует клиентский сертификат при доступе к IIS. На IIS настроено требование клиентского сертификата. Цепочка сертификатов валидная. CRL доступен учетной записи NT AUTHORITY\SYSTEM.

    Проблема наблюдается с утилитой шифрования RMSBULK и компонентом файловой службы FCI (File Classificated Infrastructure), когда пытаются получить лицензию из под учетной записи System на шифрование на сервере RMS, IIS которого требует клиентский сертификат. В случае с FCI, функция RMS шифрования работает только с Local System (NT AUTHORITY\SYSTEM).

    Если RMSBULK запускать из под учетной записи пользователя домена, то проблем никаких не наблюдается, сертификат клиента используется для SSL соединения и лицензия RMS на шифрование выдается пользователю.

    Проверил доступность закрытого ключа сертификата компьютера у учетной записи Local System (запустив CMD из под нее) с помощью следующей утилиты:

    winhttpcertcfg -l -c LOCAL_MACHINE\My -s "CertFCIservice" 

    Результат положительный: 

    Matching certificate:
    CN=CertFCIservice
    Additional accounts and groups with access to the private key include:
        BUILTIN\Administrators
        NT AUTHORITY\SYSTEM

    Что удивительно, если запустить Internet Explorer из под Local System, то сертификат клиента используется и страница лицензий RMS  https://rms.domain.com/_wmcs/licensing/license.asmx доступна. 

    Итого проблема заключается в том, чтобы учетная запись NT AUTHORITY\SYSTEM использовала клиентский сертификат для SSL соединения с IIS сервера RMS через CMD.

    Много перечитал форумов, посмотрел групповые политики, решения не нашел.

    Буду признателен любой помощи, заранее спасибо!

    10 июня 2015 г. 11:51

Все ответы