none
Установка списка отзывов сертификатов! RRS feed

  • Вопрос

  • Имеются два контроллера домена на Server 2012 R2, ICA на Server 2008 R2 и оффлайновый RCA на на 2008.
    Пользователи аутентифицируются на терминальном сервере или в своих доменных рабочих станциях при помощи смарт-карт рутокен с сертификатами выданными СА предприятия.
    Корневые и промежуточные сертификаты распространяются при помощи групповых политик на все компы домена. 
    Точки распространения crl настроенны через ldap, http, файл. 
     Но на некоторых компьютерах вылезает ошибка которая вызывает головную боль у всего предприятия, при попытки войти в комп со смарт-картой пишет: 

    "Статус отзыва сертификата контроллера домена используемого для проверки сертификата смарт-карты не определён. "

    В других случаях пишет:

    "Не возможно проверить статус отзыва сертификата так как сервера отзыва сертификата offline"

    Причём такое сугубо на еденичных машинах, на всех остальных нормально работает. 
    Скачиваю на проблемную машину файлы списков отзывов .crl и устанавливаю, не помогает. 
    У меня такие подозрения что надо установить .crl на сервер, что бы они были видны в контейнере списков отзывов локального компьютера. Но если устанавливать файл, то он устанавливается по умолчанию для текущего пользователя! 

    Помогите пожалста! Куда копать??? Уже начинаю подумывать  о полной переустановки PKI во всём предприятии. 


    4 августа 2014 г. 6:06

Ответы

  • Скорее всего контроллер домена (и, возможно, некие другие сервисы) получили свои сертификаты, когда ваш PKI был не до конца (некорректно) настроен.

    Если вы полагаете, что сейчас списки отзыва настроены корректно, то просто перевыпустите сертификаты, на которые ругаются клиенты.

    Все проблемы с проверкой на отзыв диагностируются через

    certutil -verify -urlfetch <путь до проверяемого сертификата>

    Команда запускается на клиенткой машине.

    Скопируйте сертификат контроллера домена на проблемную машину и проверяйте там.


    Microsoft Certified Doing Nothing Expert

    • Помечено в качестве ответа Lester_strange 4 августа 2014 г. 13:29
    4 августа 2014 г. 10:39
  • На всех клиентах стоит CryptoPRO . 
    Но что странно, если скопировать эту URL в браузер, скачанные упадёт файлик списка отзывов. 
    А в PKIview - на уровне RCA состояние: "не удалось загрузить"...

    Проблема решилась первыпуском сертификатов для контроллеров домена. 
    То есть, я сначала починил сломанный сетевой ответчик. 
    Убедился, что среди всех точек распространения есть хотя бы по одной работоспособной, после чего перевыпуск сертификатов для КД помог. 
    НО остаётся куча вопросов, почему именно на нескольких клиентах не работало а не на всех? 
    Как работало до этого, при не функционирующем сетевом ответчике? 
    Почему недоступны половина точек распространения? 
    Лес! В любом случае, спасибо Вам Дмитрий. 
    • Помечено в качестве ответа Lester_strange 4 августа 2014 г. 13:29
    4 августа 2014 г. 13:29

Все ответы

  • Скорее всего контроллер домена (и, возможно, некие другие сервисы) получили свои сертификаты, когда ваш PKI был не до конца (некорректно) настроен.

    Если вы полагаете, что сейчас списки отзыва настроены корректно, то просто перевыпустите сертификаты, на которые ругаются клиенты.

    Все проблемы с проверкой на отзыв диагностируются через

    certutil -verify -urlfetch <путь до проверяемого сертификата>

    Команда запускается на клиенткой машине.

    Скопируйте сертификат контроллера домена на проблемную машину и проверяйте там.


    Microsoft Certified Doing Nothing Expert

    • Помечено в качестве ответа Lester_strange 4 августа 2014 г. 13:29
    4 августа 2014 г. 10:39
  • Перевыпустил сертификаты для контроллера. 
    Проверка на проблемном компьютере выдаёт такой результат:

    C:\Windows\system32>certutil -verify -urlfetch c:\ad.cer
    Поставщик:
        CN=easystep-CANEV-CA
        DC=easystep
        DC=local
    Субъект:
        EMPTY (DNS-имя=AD1.easystep.local, DNS-имя=easystep.local, DNS-имя=EASYSTEP)

    Серийный номер сертификата: 530000014297e512514ceb924f000000000142

    dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
    dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
    ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
    HCCE_LOCAL_MACHINE
    CERT_CHAIN_POLICY_BASE
    -------- CERT_CHAIN_CONTEXT --------
    ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
    ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
    ChainContext.dwRevocationFreshnessTime: 429 Days, 6 Hours, 43 Minutes, 39 Second
    s

    SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
    SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
    SimpleChain.dwRevocationFreshnessTime: 429 Days, 6 Hours, 43 Minutes, 39 Seconds


    CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=1000040
      Issuer: CN=easystep-CANEV-CA, DC=easystep, DC=local
      NotBefore: 04.08.2014 16:08
      NotAfter: 04.08.2015 16:08
      Subject:
      Serial: 530000014297e512514ceb924f000000000142
      SubjectAltName: DNS-имя=AD1.easystep.local, DNS-имя=easystep.local, DNS-имя=EA
    SYSTEP
      Template: Kerberos Authentication
      f4 bd 02 11 eb 0e eb e4 45 c6 a8 07 7c 57 0f cb 13 a0 12 cd
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
      Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
      ----------------  Сертификат AIA  ----------------
      Проверено "Сертификат (0)" Время: 0
        [0.0] ldap:///CN=easystep-CANEV-CA,CN=AIA,CN=Public%20Key%20Services,CN=Serv
    ices,CN=Configuration,DC=easystep,DC=local?cACertificate?base?objectClass=certif
    icationAuthority

      ----------------  Сертификат CDP  ----------------
      Проверено "Базовый CRL (50)" Время: 0
        [0.0] http://CAnev.easystep.local/CertEnroll/easystep-CANEV-CA.crl

      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Не удается найти указанный файл. 0x80070002 (WIN32
    : 2)
        [0.0.0] ldap:///CN=easystep-CANEV-CA,CN=CAnev,CN=CDP,CN=Public%20Key%20Servi
    ces,CN=Services,CN=Configuration,DC=easystep,DC=local?deltaRevocationList?base?o
    bjectClass=cRLDistributionPoint

      Проверено "Разностный CRL (50)" Время: 0
        [0.0.1] http://CAnev.easystep.local/CertEnroll/easystep-CANEV-CA+.crl

      Старый базовый CRL "Разностный CRL (50)" Время: 0
        [0.0.2] http://crln.easystep.local/CAnev.crl

      Проверено "Базовый CRL (3d)" Время: 0
        [1.0] http://crln.easystep.local/CAnev.crl

      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Не удается найти указанный файл. 0x80070002 (WIN32
    : 2)
        [1.0.0] ldap:///CN=easystep-CANEV-CA,CN=CAnev,CN=CDP,CN=Public%20Key%20Servi
    ces,CN=Services,CN=Configuration,DC=easystep,DC=local?deltaRevocationList?base?o
    bjectClass=cRLDistributionPoint

      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Ошибка 0x80190194 (-2145844844)
        [1.1.0] http://crln.easystep.local/crleasystep-CANEV-CA

      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Ошибка 0x80190194 (-2145844844)
        http://crln.easystep.local/CAnev.crleasystep-CANEV-CA.crl

      ----------------  Базовый CRL CDP  ----------------
      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Не удается найти указанный файл. 0x80070002 (WIN32
    : 2)
        ldap:///CN=easystep-CANEV-CA,CN=CAnev,CN=CDP,CN=Public%20Key%20Services,CN=S
    ervices,CN=Configuration,DC=easystep,DC=local?deltaRevocationList?base?objectCla
    ss=cRLDistributionPoint

      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Ошибка 0x80190194 (-2145844844)
        http://crln.easystep.local/crleasystep-CANEV-CA

      ----------------  OCSP сертификата  ----------------
      Ошибка "Протокол OCSP" Время: 0
        Ошибка при получении URL: Ошибка 0x80190195 (-2145844843)
        http://CAnev.easystep.local/CertEnroll/CAnev.easystep.local_easystep-CANEV-C
    A.crt

      Проверено "Протокол OCSP" Время: 0
        [1.0] http://canev.easystep.local/ocsp

      --------------------------------
        CRL 3d:
        Issuer: CN=easystep-CANEV-CA, DC=easystep, DC=local
        e2 aa ef 06 00 0b 81 b5 58 04 9d d9 db bb 89 a9 be ae 26 ac
        Delta CRL 03:
        Issuer: CN=easystep-CANEV-CA, DC=easystep, DC=local
        b9 9b fe dd 62 fd d0 d9 2b 01 7f 30 17 2a 9c 42 7f 4b cb c3
      Application[0] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
      Application[1] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
      Application[2] = 1.3.6.1.4.1.311.20.2.2 Вход со смарт-картой
      Application[3] = 1.3.6.1.5.2.3.5 Проверка подлинности центра распространения к
    лючей

    CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=ROOTCANEV-CA
      NotBefore: 31.05.2013 16:29
      NotAfter: 14.05.2023 13:25
      Subject: CN=easystep-CANEV-CA, DC=easystep, DC=local
      Serial: 501c3ec7000000000003
      Template: SubCA
      09 7b 33 99 05 4c 79 88 16 df 6b 31 38 6c 14 ef 64 da 22 0e
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Проверено "Сертификат (0)" Время: 0
        [0.0] http://crln.easystep.local/root.crt

      ----------------  Сертификат CDP  ----------------
      Недопустимый поставщик "Базовый CRL (0e)" Время: 0
        [0.0] http://crln.easystep.local/root.crl

      ----------------  Базовый CRL CDP  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------
        CRL 0d:
        Issuer: CN=ROOTCANEV-CA
        6b 5e f0 bc b3 b0 dd 7e 92 21 97 81 35 e7 e9 39 31 73 2a 71

    CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
      Issuer: CN=ROOTCANEV-CA
      NotBefore: 14.05.2013 13:15
      NotAfter: 14.05.2023 13:25
      Subject: CN=ROOTCANEV-CA
      Serial: 16808844131c9bb44faa95273b72ca5d
      72 40 15 0e c8 97 ab 77 ae ac f2 98 9b c3 55 f2 ae 0a c8 4b
      Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
      Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  Сертификат CDP  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------

    Exclude leaf cert:
      9d cb e5 6d ef cc 13 41 87 04 2a c2 e3 f5 32 9c 79 e2 af ec
    Full chain:
      54 e7 65 76 6c c5 b9 aa cc 03 cf 98 2c 4f 9f 7d 20 11 60 a3
      Issuer: CN=easystep-CANEV-CA, DC=easystep, DC=local
      NotBefore: 04.08.2014 16:08
      NotAfter: 04.08.2015 16:08
      Subject:
      Serial: 530000014297e512514ceb924f000000000142
      SubjectAltName: DNS-имя=AD1.easystep.local, DNS-имя=easystep.local, DNS-имя=EA
    SYSTEP
      Template: Kerberos Authentication
      f4 bd 02 11 eb 0e eb e4 45 c6 a8 07 7c 57 0f cb 13 a0 12 cd
    Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен
    . 0x80092013 (-2146885613)
    ------------------------------------
    Проверка списка отзыва пропущена -- сервер отключен или вне сети

    ОШИБКА: проверка состояния отзыва сертификата вернула Невозможно проверить функц
    ию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613)

    CertUtil: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов н
    едоступен .

    CertUtil: -verify - команда успешно выполнена.
    4 августа 2014 г. 12:23
  • Очень много ошибок в конфигурации. Серьезно, очень много. Даже не уверен, что стоит все это фиксить. 

    Если у вас не очень много выпущенных сертификатов, проще будет заново поднять иерархию PKI.

    У вас явно есть недопонимание теории, отсюда и ошибки. Не мучайтесь, просто поставьте один Root Online CA в дефолтной конфигурации (тот самый Next, Next, Profit).


    Microsoft Certified Doing Nothing Expert

    4 августа 2014 г. 12:51
  • Просто разворачивал не я, сейчас передомной стоит задача всё это починить или переразвернуть. ВЫпущенных сертификатов много. Придётся собирать со всех смарт-карты и перевыпускать всё. 
    Я не понимаю почему такая ошибка наблюдается только на нескольких ПК, остальные машины домена работают нормально. 
    Ради двух трёх машин переустанавливать всю иерархию PKI не слишком рационально. 
    4 августа 2014 г. 12:59
  • Ок, давайте попробуем разобраться.

    ----------------  Сертификат CDP  ----------------
      Недопустимый поставщик "Базовый CRL (0e)" Время: 0
        [0.0] http://crln.easystep.local/root.crl

    говорит нам, что клиент не может проверить цифровую подпись на файле root.crl. Что-то с крипто-провайдером. Возможно, на остальных клиентах стоит что-то типа CryptoPRO или аналогов? Или, как вариант, это просто старые версии ОС? 


    Microsoft Certified Doing Nothing Expert

    4 августа 2014 г. 13:11
  • На всех клиентах стоит CryptoPRO . 
    Но что странно, если скопировать эту URL в браузер, скачанные упадёт файлик списка отзывов. 
    А в PKIview - на уровне RCA состояние: "не удалось загрузить"...

    Проблема решилась первыпуском сертификатов для контроллеров домена. 
    То есть, я сначала починил сломанный сетевой ответчик. 
    Убедился, что среди всех точек распространения есть хотя бы по одной работоспособной, после чего перевыпуск сертификатов для КД помог. 
    НО остаётся куча вопросов, почему именно на нескольких клиентах не работало а не на всех? 
    Как работало до этого, при не функционирующем сетевом ответчике? 
    Почему недоступны половина точек распространения? 
    Лес! В любом случае, спасибо Вам Дмитрий. 
    • Помечено в качестве ответа Lester_strange 4 августа 2014 г. 13:29
    4 августа 2014 г. 13:29
  • skip

    >>А в PKIview - на уровне RCA состояние: "не удалось загрузить"...

    Это может быть лишь локальной проблемой RCA (разрешение имен, списки доступа и пр.)

    >>Как работало до этого, при не функционирующем сетевом ответчике?

    OCSP - не единственный механизм проверки на отзыв.

    >>Почему недоступны половина точек распространения? 

    Потому что в некоторых путях допущены опечатки:

    http://crln.easystep.local/crleasystep-CANEV-CA

    http://crln.easystep.local/CAnev.crleasystep-CANEV-CA.crl

    и таких много.

    Возможно, не работает (или попросту не включена) публикация crl в AD. Проверьте это на ICA, выполнив

    certutil -CRL

    Повторюсь, ошибок в конфигурации очень много.

    Находите ошибку, избавляйтесь от нее, выпускайте какой-нибудь тестовый сертификат и проверяйте его на отзыв. Так шаг за шагом, глядишь, и разгребете.


    Microsoft Certified Doing Nothing Expert



    4 августа 2014 г. 13:48