none
проверка работы центра сертификации RRS feed

  • Вопрос

  • День добрый... по поводу сертификатов еще та каша в голове, по этому прошу подсказать. Развернул в домене центр сертификации.... по рекомендуемой схеме с самостоятельным корневым в офлайне и раздающим доменным... 

    Вопрос, как проверить корректную работу службы? Как должны распространяться сертификаты в домене? Надо ли прописывать что то в групповой политике специально или должно всё быть автоматом? а то перезагрузил пару раз компьютер в домене а доверенный сертификат так в хранилище не появился.

    27 февраля 2014 г. 15:45

Ответы

  • в общем разобрался сам, огромный труд вот здесь

    так и не понял Ваших намеков, скорее всего потому что товарищ Жук не до конца понял суть проблемы.

    судя по статье, публикация сертификата выполнятся командами по типу

    :: публикуем сертификат CA в AD 
    certutil -dspublish -f C:\CertData\{Adatum}_PICA.crt Subca 
    certutil -dspublish -f C:\CertData\{Adatum}_PICA.crt NTAuthCA

    net stop certsvc && net start certsvc

    в общем после чтения и следования данной статье всё заработало.


     
    • Помечено в качестве ответа NSDonner 1 марта 2014 г. 19:42
    1 марта 2014 г. 19:38

Все ответы

  • Для того, что бы Сертификат появился в хранилище, его необходимо установить в режиме неизвлекаемости закрытого ключа. Предварительно сохранив Ключевой файл на съёмном носителе и закрыв его в сейфе ;).

    Да, я Жук, три пары лапок и фасеточные глаза :))

    27 февраля 2014 г. 16:19
    Модератор
  • Чуть подробнее пожалуйста, каким образом сертификат распространяется на доменные машины? 
    27 февраля 2014 г. 16:22
  • Начните с внимательного изучения статьи http://www.cyberguru.ru/operating-systems/windows-admin/microsoft-pki.html?showall=1

    Да, я Жук, три пары лапок и фасеточные глаза :))

    27 февраля 2014 г. 16:43
    Модератор
  • Прочитал, спасибо, но вопрос остаётся открытым.... каким образом компьютеры домена подхватывают сертификат себе в доверенные, это групповая политика? Надо ли настраивать её отдельно или компьютеры должны подхватывать сертификат автоматически после поднятия доменного центра сертификации?
    28 февраля 2014 г. 9:23
  • Разверните Вашу цитата: "... по рекомендуемой схеме с самостоятельным корневым в офлайне и раздающим доменным..." желательно со ссылкой на эту статью.

    При использовании корневого центра сертификации предприятия Microsoft корневой сертификат автоматически устанавливается на компьютерах леса с помощью доменных служб Active Directory (Дополнительные сведения). Более подробней Вы можете прочитать в серии статей http://technet.microsoft.com/ru-ru/library/bb693643.aspx

    Но кроме корневого сертификата ЦС, каждый компьютер должен создать запрос к ЦС для выпуска им, персонального личного сертификата для компьютера, соответственно и устанавливаться он должен в хранилище личных сертификатов компьютера с учётом первого сообщения.


    Да, я Жук, три пары лапок и фасеточные глаза :))



    28 февраля 2014 г. 11:35
    Модератор
  • вот статья по которой настраивал.

    Вот и вопрос

    "при использовании корневого центра сертификации предприятия Microsoft корневой сертификат автоматически устанавливается на компьютерах леса с помощью доменных служб "

    Как? У меня не устанавливается. Если при помощи ГП, то подскажите ветку настройки, или еще как то?

    28 февраля 2014 г. 12:02
  • В статье "Разворачивание цепочки центров сертификации на основе Microsoft CA" на которую Вы ссылаетесь, рассматривается пошаговый порядок установки корневого ЦС на изолированном компьютере с организацией и настройкой подчинённого ЦС  для выдачи сертификатов компьютерам.

    По настройке IIS, дополнительно внимательно изучите серию статей "Настойка списка доверенных центров сертификации".


    Да, я Жук, три пары лапок и фасеточные глаза :))

    28 февраля 2014 г. 17:07
    Модератор
  • т.е. Вы хотите сказать что корневой сертификат будет устанавливаться на компьютеры домена только в случае если именно корневой центр сертификации является доменным, а не изолированным? 
    1 марта 2014 г. 11:57
  • Вы невнимательно прочитали как статью "Разворачивание цепочки сертификатов...", ссылку на которую Вы же сами и дали, так и статью "Настройка списка доверенных центров сертификации", ссылку на которую я Вам дал в предыдущем сообщении. В которой сказано, что Вам необходимо создать Список доверия сертификатов на сервере, а затем проверить, и в случае необходимости, внести изменение списка доверия сертификатов на сервере.

    Компьютеры с запросами для выпуска сертификатов, должны обращаться в Вашем случае, к SubCA.


    Да, я Жук, три пары лапок и фасеточные глаза :))


    1 марта 2014 г. 13:11
    Модератор
  • По моему мы говорим о разных вещах... меня не интересует механизм выпуска сертификатов для компьютеров, меня интересует механизм распространения доверия к изначальному корневому сертификату....

    к примеру я подписал для веб сервера сертификат на subCA, для того чтобы доменные клиенты не ругались на этот сертификат при работе с этим веб ресурсом у них уже должен быть в доверенных выпускающий сервер сертификации... и мой вопрос про то как этот сертификат должен попадть в доверенные автоматически?

    1 марта 2014 г. 14:37
  • Внимательно прочитайте статью по IIS "Настойка списка доверенных центров сертификации", ссылку на которую давал Вам ранее. Что Вам говорит цитата: "...Клиентские сертификаты затем могут проверяться автоматически по списку доверия сертификатов...". Где Вы увидели Корневой сертификат RootCA?

    Да, я Жук, три пары лапок и фасеточные глаза :))


    1 марта 2014 г. 16:43
    Модератор
  • в общем разобрался сам, огромный труд вот здесь

    так и не понял Ваших намеков, скорее всего потому что товарищ Жук не до конца понял суть проблемы.

    судя по статье, публикация сертификата выполнятся командами по типу

    :: публикуем сертификат CA в AD 
    certutil -dspublish -f C:\CertData\{Adatum}_PICA.crt Subca 
    certutil -dspublish -f C:\CertData\{Adatum}_PICA.crt NTAuthCA

    net stop certsvc && net start certsvc

    в общем после чтения и следования данной статье всё заработало.


     
    • Помечено в качестве ответа NSDonner 1 марта 2014 г. 19:42
    1 марта 2014 г. 19:38