none
certreq для шаблона "Компьютер" RRS feed

  • Общие обсуждения

  • Добрый день!
    Нид хелп... ибо убился :)

    Есть желание "руками" запрашивать сертификаты (ЦС на WinSrv2003) для рабочих станций.
    (имя домена="COMPANY", имя компа="work8"
    [в ЦС внесена настройка - CERTUTIL -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2]
    Создаю inf-файл:
    [Version]
    Signature="$Windows NT$

    [NewRequest]
    Subject = "CN=WORK8.COMPANY"
    KeyLength = 1024
    KeySpec=1
    KeyUsage=0xA0
    MachineKeySet = TRUE

    Exportable = TRUE
    SMIME = False
    PrivateKeyArchive = FALSE
    UserProtected = FALSE
    UseExistingKeySet = FALSE


    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    SMIME = FALSE
    RequestType = CMC

    [EnhancedKeyUsageExtension]
    OID=1.3.6.1.5.5.7.3.2
    OID=1.3.6.1.5.5.7.3.1

    [RequestAttributes]
    CertificateTemplate = Machine
    ----------------------------------------
    Делаю >certreq -new work8.inf work8.req - получаю файл запроса...
    Делаю >certreq -submit work8.req ... и получаю грабли:
    ------------------------------------------------
    Службы сертификации отклонили запрос 265 по причине DNS-имя недоступно и не может быть добавлено к имени альтернативной темы. 0x8009480f (-2146875377). Запрос был на COMPANY\УчеткаАдмина. Дополнительная информация: Модуль политики отверг запрос.
    ----------------------------------------------------------------
    work8 и work8.company есть в DNS
    Как поправить руки?
    Заранее спасибо

    14 августа 2009 г. 8:23

Все ответы

  • http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thread/607d2357-c094-4117-90d1-40180c1111ad

    http://social.technet.microsoft.com/Forums/en-US/configmgribcm/thread/36f77417-1163-47ed-9a8e-f5d426680f37


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    14 августа 2009 г. 8:31
    Отвечающий
  • ... не помогло.

    [Extensions]
    2.5.29.17 = "d29yazguY29tcGFueQ==" ; это переконвертированное имя work8.company... переконвертирование DSN:work8.company - тоже не помогло :(
    -----------------
    Обработчик запросов сертификатов: Ошибка при обработке запроса  Встречено неверн
    ое значение тега ASN1. 0x8009310b (ASN: 267)
    ----------------------
    Ошибка другая... чем лечить?


    Да, забыл добавить...
    делаем dump ... а там:
    2.5.29.17: Флаги = 0, Длина = 11
    Дополнительное имя субъекта
    Неизвестный тип расширения

    0000  44 4e 53 3a 77 6f 72 6b  38 2e 63 6f 6d 70 61 6e   DNS:work8.compan
    0010  79                                                 y
    ----------------------------------------
    Правил до результата DNS=work8.company - результат - тот же

    14 августа 2009 г. 10:14
  • http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thread/607d2357-c094-4117-90d1-40180c1111ad

    http://social.technet.microsoft.com/Forums/en-US/configmgribcm/thread/36f77417-1163-47ed-9a8e-f5d426680f37


    ... если есть возможность - можно конфиг? и порядок действий (типа инструкции)
    [пример]
    Конфиг comp.inf
    ....
    [Version]
    Signature="$Windows NT$

    [NewRequest]
    Subject = "CN=comp"
    KeyLength = 1024
    KeySpec=1
    и т.д.
    -------------------

    Получение имени DNS=comp: (RE5TPWNvbXANCg==)
    --------------
    echo DNS:comp > comp.txt && certutil -encode comp.txt comp2.txt && type comp2.txt && del comp*.txt
    Входная длина = 12
    Выходная длина = 74
    CertUtil: -encode - команда успешно выполнена.
    -----BEGIN CERTIFICATE-----
    RE5TPWNvbXANCg==
    -----END CERTIFICATE-----
    -----------------------------------

    Создаем запрос:
    certreq -new comp.inf comp.req

    Запрос к ЦС
    certreq -submit comp.req

    и т.д.

    Спасибо

    14 августа 2009 г. 11:19
  • Причина данной ошибки:
    The certificate request file was not correct.
    Решение
    Create a new certificate request file which help us to obtain the web server certificate.

    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    21 августа 2009 г. 13:10
    Модератор
  • Причина данной ошибки:
    The certificate request file was not correct.
    Решение
    Create a new certificate request file which help us to obtain the web server certificate.

    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!

    ... странный ответ... вопрос был про запрос сертификата по шаблону "Machine", а не "WebServer"
    Естественно, я это попробовал и получил закономерную ошибку по запросу сертификата по некорректному шаблону
    24 августа 2009 г. 12:10
  • Вроде понял, что имелось ввиду. Вот вариант решения:
    1.In Active Directory, check the properties of the client PC.
    2.The PC's DNS name attribute is empty, and the CA is unable to populate the SAN with the DNS name
    3.Input the DNS name, and the request should succeed.


    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    24 августа 2009 г. 12:48
    Модератор
  • Вроде понял, что имелось ввиду. Вот вариант решения:
    1.In Active Directory, check the properties of the client PC.
    2.The PC's DNS name attribute is empty, and the CA is unable to populate the SAN with the DNS name
    3.Input the DNS name, and the request should succeed.


    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!

    Полностью согласен... DNS-имя у компьютера, ни разу не вошедшего в домен - пусто... Вопрос - как его отредактировать? (изменения не доступны)
    Заранее спасибо
    24 августа 2009 г. 13:07
  • Unconnect, в запросе не должно быть "EnhancedKeyUsageExtension", если УЦ не оффлайновый.
    Если нужен сертификат с SAN, то попробуйте в запросе это явно указать:
    [RequestAttributes]
    CertificateTemplate = MyComputerTemplate
    SAN="dns=comp.external.com&dns=compp.external.com&dns=<...>"


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    24 августа 2009 г. 13:21
    Отвечающий
  • Посмотрите тут http://support.microsoft.com/kb/931351 раздел "How to use the Certreq.exe utility to create and submit a certificate request that includes a SAN"
    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    24 августа 2009 г. 13:23
    Модератор
  • Посмотрите тут http://support.microsoft.com/kb/931351 раздел "How to use the Certreq.exe utility to create and submit a certificate request that includes a SAN"
    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!

    ... возвращение на круг :) С этого и начинался вопрос :)
    24 августа 2009 г. 13:43
  • Unconnect, в запросе не должно быть "EnhancedKeyUsageExtension", если УЦ не оффлайновый.
    Если нужен сертификат с SAN, то попробуйте в запросе это явно указать:
    [RequestAttributes]
    CertificateTemplate = MyComputerTemplate
    SAN="dns=comp.external.com&dns=compp.external.com&dns=<...>"


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)


    ... к сожалению ... нихт функционирен  :(
    ---------------------------------------------------------------
    Код запроса (RequestId): 314
    Сертификат не выдан (Отказано) Модуль политики отверг запрос DNS-имя недоступно
    и не может быть добавлено к имени альтернативной темы. 0x8009480f (-2146875377)
    Обработчик запросов сертификатов: DNS-имя недоступно и не может быть добавлено к
     имени альтернативной темы. 0x8009480f (-2146875377)
    Модуль политики отверг запрос
    -----------------------------------------------
    Привожу свой inf:
    [Version]
    Signature="$Windows NT$

    [NewRequest]
    Subject = "CN=work8.company"  
    Exportable = TRUE                 
    KeyLength = 1024               
    KeySpec = 1                       
    KeyUsage = 0xA0                    
    MachineKeySet = True               
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    SMIME = true
    RequestType = CMC

    [RequestAttributes]
    CertificateTemplate= Machine
    SAN="dns=work8.company"
    ------------------------------------
    есть ещё варианты?
    Заранее спасибо

    24 августа 2009 г. 13:51
  • Не сдаемся, пробуем еще такой вариант:

    1. Add the Domain users, Domain Admins, Domain Controllers and Domain Computers to the CERTSVC_DCOM_ACCESS security group.
    2. Run the following commands on CA:

    certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc

    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    25 августа 2009 г. 4:29
    Модератор
  • Добрый день
    Certificate templates -> manage -> select template (Computer in my case) -> duplicate
    Certificate properties:
    Subject Name -> change to "Supply in the request"

    Проверяем темплейты на CA. Если он там не об'явился:
    certutil -SetCAtemplates +"Copy of Computer"

    Создаем реквест.

    [Version]
    Signature="$Windows NT$

    [NewRequest]
    Subject = "CN=someone.somecompany.net"
    KeyLength = 2048
    KeySpec=1
    KeyUsage=0xA0
    MachineKeySet = TRUE

    Exportable = TRUE
    SMIME = False
    PrivateKeyArchive = FALSE
    UserProtected = FALSE
    UseExistingKeySet = FALSE


    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    SMIME = FALSE
    RequestType = CMC

    [EnhancedKeyUsageExtension]
    OID=1.3.6.1.5.5.7.3.2
    OID=1.3.6.1.5.5.7.3.1

    [RequestAttributes]
    CertificateTemplate = "Copy Of Computer"
    SAN="dns=.work8.company&dns=ldap.work8.company

    Все остальное как написано выше.

    ----------------------------------------
    Делаю >certreq -new work8.inf work8.req - получаю файл запроса...
    Делаю >certreq -submit work8.req ... и получаю .....
    ------------------------------------------------

    Получаем сертификат:

    X509 Certificate:
    Version: 3
    Serial Number: 1fd47a92000200000027
    Signature Algorithm:
        Algorithm ObjectId: 1.2.840.113549.1.1.5 sha1RSA
        Algorithm Parameters:
        05 00
    Issuer:
        CN=nwtraders-ENTCABOX-CA
        DC=nwtraders
        DC=msft

    NotBefore: 8/27/2009 3:55 PM
    NotAfter: 8/27/2010 3:55 PM

    Subject:
        CN=someone.somecompany.net

    Public Key Algorithm:
        Algorithm ObjectId: 1.2.840.113549.1.1.1 RSA (RSA_SIGN)
        Algorithm Parameters:
        05 00
    Public Key Length: 2048 bits
    Public Key: UnusedBits = 0
        0000  30 82 01 0a 02 82 01 01  00 b0 14 c6 de c1 5a 6e
        0010  97 56 38 d2 1e c7 d8 2d  9a cd df 03 fd 1c c7 86
        0020  7b e0 df cd 0d 0a db a1  57 1f c6 6e 5a b8 6f fb
        0030  f9 3d f2 2b 25 66 3d b8  cc 1c 51 b2 d5 e4 c4 06
        0040  03 72 cd 78 ed 4b 9a 58  7f 7a ad 68 88 50 d5 d5
        0050  a8 bd 8d 65 81 0f d1 39  0a 42 8c 3b 86 00 9a 67
        0060  7b 6a 5e 44 19 7c 66 00  00 8f 82 7d b9 16 7f 79
        0070  c4 a6 17 e7 07 f4 44 75  b0 8d c8 d7 86 bc 48 ed
        0080  9d fb 48 c9 43 0a 7b 9b  ef 08 3c 7d 3a 6b d2 50
        0090  1d 47 08 68 ba 30 04 14  c1 6d b0 a5 09 2e 48 9c
        00a0  56 3b 5e 00 0e 2c 37 bc  e7 27 49 bc a2 7b c6 a9
        00b0  bc b8 5c 41 3e b1 53 f6  fe 44 dd c8 2a d4 80 05
        00c0  6f 8b e7 3e 5c f0 7b 1b  35 4b c5 f3 d8 16 78 a8
        00d0  76 1e 18 c5 68 a1 ee 35  c1 9b cb 33 bd a0 40 f0
        00e0  fa 47 c1 10 23 d7 8e 43  c5 61 59 fd 66 ee c7 17
        00f0  5d 28 7c 25 49 16 6e 7c  e0 51 4c ff 59 67 cc 8c
        0100  bd 8d 58 f3 c3 e0 78 8c  65 02 03 01 00 01
    Certificate Extensions: 9
        1.3.6.1.4.1.311.21.7: Flags = 0, Length = 2f
        Certificate Template Information
            Template=1.3.6.1.4.1.311.21.8.2018973.2386041.3100094.14647188.7848368.3.9507049.8438549
            Major Version Number=100
            Minor Version Number=3

        1.3.6.1.4.1.311.21.10: Flags = 0, Length = 1a
        Application Policies
            [1]Application Certificate Policy:
                 Policy Identifier=Server Authentication
            [2]Application Certificate Policy:
                 Policy Identifier=Client Authentication

        2.5.29.15: Flags = 1(Critical), Length = 4
        Key Usage
            Digital Signature, Key Encipherment (a0)

        2.5.29.37: Flags = 0, Length = 16
        Enhanced Key Usage
            Server Authentication (1.3.6.1.5.5.7.3.1)
            Client Authentication (1.3.6.1.5.5.7.3.2)

        2.5.29.14: Flags = 0, Length = 16
        Subject Key Identifier
            6d 0d 7f 37 b3 fd f8 c3 7c ba d1 f8 4a 25 cd 4a 22 4d 5a 85

        2.5.29.35: Flags = 0, Length = 18
        Authority Key Identifier
            KeyID=65 32 1e 2e 0e 9d 5e 3f 85 9b 90 5a c0 89 0a 42 0f 58 64 62

        2.5.29.31: Flags = 0, Length = 11e
        CRL Distribution Points
            [1]CRL Distribution Point
                 Distribution Point Name:
                      Full Name:
                           URL=ldap:///CN=nwtraders-ENTCABOX-CA(2),CN=ENTCABOX,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=nwtraders,DC=msft?certificateRevocationList?base?objectClass=cRLDistributionPoint
                           URL=http://entcabox.nwtraders.msft/CertEnroll/nwtraders-ENTCABOX-CA(2).crl

        1.3.6.1.5.5.7.1.1: Flags = 0, Length = 12a
        Authority Information Access
            [1]Authority Info Access
                 Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
                 Alternative Name:
                      URL=ldap:///CN=nwtraders-ENTCABOX-CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=nwtraders,DC=msft?cACertificate?base?objectClass=certificationAuthority
            [2]Authority Info Access
                 Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
                 Alternative Name:
                      URL=http://entcabox.nwtraders.msft/CertEnroll/ENTCABOX.nwtraders.msft_nwtraders-ENTCABOX-CA(2).crt

        2.5.29.17: Flags = 0, Length = 28
        Subject Alternative Name
            DNS Name=.nwtraders.msft
            DNS Name=ldap.nwtraders.msft

    Signature Algorithm:
        Algorithm ObjectId: 1.2.840.113549.1.1.5 sha1RSA
        Algorithm Parameters:
        05 00
    Signature: UnusedBits=0
        0000  5e 2c 9c dd a7 f1 f2 9a  f6 12 eb ae 96 21 17 68
        0010  36 47 e2 a7 31 42 1b a9  f7 b4 ff 31 22 d3 bb 4a
        0020  ac 06 da 86 07 bb dd 7c  ce af 7e 21 b4 cf 7e e3
        0030  6b dc 3b 02 73 c1 f6 e0  54 42 47 0f b4 3c 85 ca
        0040  74 1f 80 a3 c6 8d de c8  6b 6c ae fb c1 54 fc 95
        0050  18 dc 05 64 f7 c6 ca b3  d3 ba cd 20 16 43 8e d6
        0060  f6 6a b3 17 84 7c 7a e7  1e f3 7d a0 ed 05 6f 03
        0070  a9 27 29 e5 ec 01 e5 70  ef ac 77 35 d3 c7 37 40
        0080  3c 2d 45 72 85 9a a6 bf  d1 38 94 8a ff df 4d b6
        0090  2d 6e c4 a8 58 0e 67 f6  2f 32 e4 c1 89 b4 4d da
        00a0  0e 28 46 68 b4 8a c9 46  cc e9 8b d2 83 e1 3a f8
        00b0  1d d5 5e 14 05 80 fd 3b  a3 89 ee 90 48 0b 56 02
        00c0  72 9e 33 04 73 fc ab 1b  df 2e d0 6e 9b ee c3 aa
        00d0  c9 47 0e b1 cf 88 44 2f  0a 35 d7 11 9d e1 04 7a
        00e0  31 42 da c2 6c f9 f0 7a  7d 61 a9 15 f8 8b 8b cb
        00f0  56 b2 a0 eb 9c 05 63 14  38 b9 3d 7a cd 53 56 43
    Non-root Certificate
    Key Id Hash(rfc-sha1): 6d 0d 7f 37 b3 fd f8 c3 7c ba d1 f8 4a 25 cd 4a 22 4d 5a 85
    Key Id Hash(sha1): 0c 75 90 a4 11 98 1b 40 d5 89 79 e8 e3 d3 04 2d 52 e8 c7 21
    Cert Hash(md5): 77 bd a0 ef 9e ec 61 91 80 63 bb 60 c0 7d 13 84
    Cert Hash(sha1): b2 2f 47 27 a1 20 b9 bd 79 ce 94 ce 87 19 0e 4e 00 7e b9 e0
    CertUtil: -dump command completed successfully.

    HTH

    27 августа 2009 г. 14:37
  • Добрый день
    Certificate templates -> manage -> select template (Computer in my case) -> duplicate
    Certificate properties:
    Subject Name -> change to "Supply in the request"

    Проверяем темплейты на CA. Если он там не об'явился:
    certutil -SetCAtemplates +"Copy of Computer"

    Создаем реквест.

    [Version]
    Signature="$Windows NT$

    [NewRequest]
    Subject = "CN=someone.somecompany.net"
    KeyLength = 2048
    KeySpec=1
    KeyUsage=0xA0
    MachineKeySet = TRUE

    Exportable = TRUE
    SMIME = False
    PrivateKeyArchive = FALSE
    UserProtected = FALSE
    UseExistingKeySet = FALSE


    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    SMIME = FALSE
    RequestType = CMC

    [EnhancedKeyUsageExtension]
    OID=1.3.6.1.5.5.7.3.2
    OID=1.3.6.1.5.5.7.3.1

    [RequestAttributes]
    CertificateTemplate = "Copy Of Computer"
    SAN="dns=.work8.company&dns=ldap.work8.company

    Все остальное как написано выше.

    ----------------------------------------
    Делаю >certreq -new work8.inf work8.req - получаю файл запроса...
    Делаю >certreq -submit work8.req ... и получаю .....
    ------------------------------------------------

    ... не работает :)
    Скопировал шаблон "Компьютер" в "TrustedWKS"
    (для компьютера (не доменного) work8 в домене COMPANY заведена запись. в DNS есть А-запись на его IP.
    Делаю на клиенте (work8 - не в домене):
    C:\temp\cert>certreq -new work8.inf work8.req
    Шаблон не найден.  Продолжить?
    TrustedWKS
    Обработчик запросов сертификатов: Указанный домен не существует или к нему невоз
    можно подключиться. 0x8007054b (WIN32: 1355)

    ? Наверняка дело в попытке сделать "on-line" реквест... Как сделать реквест офф-лайновым?

    28 августа 2009 г. 6:51

  • Имя шаблона без пробелов пишете?
    Да точно также, только с файлик запроса (сразу после "certreq -new") едет на к администратору УЦ, который делает, из консоли CA, например, "submit new request" или через "webenroll". Вот. А вы уж потом на клиенте делаете "-accept".


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    28 августа 2009 г. 6:59
    Отвечающий

  • Имя шаблона без пробелов пишете?
    Да точно также, только с файлик запроса (сразу после "certreq -new") едет на к администратору УЦ, который делает, из консоли CA, например, "submit new request" или через "webenroll". Вот. А вы уж потом на клиенте делаете "-accept".


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)

    Да, конечно. Вопросы про "как сделать off-line" request... я не могу создать запрос с заданными параметрами на "недоменной" машине.
    Собака порылась тут
    28 августа 2009 г. 7:33
  • Вы ведь пишете, что файл запроса (".req") получаете.
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    28 августа 2009 г. 7:51
    Отвечающий
  • Если правильно понял тему, то механизм создания оффлайн-запроса можно глянуть тут
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    28 августа 2009 г. 7:55
    Модератор
  • А к чему эти мучения? На любой доменной машине генерите запрос (все равно SAN имя произвольное) и создаете сертификат. Экспорт/импотрт с приватным ключем на нужную машину. Не забудьте что crl не проверятся по ldap пути в CDP.

    HTH
    28 августа 2009 г. 9:46
  • А к чему эти мучения? На любой доменной машине генерите запрос (все равно SAN имя произвольное) и создаете сертификат. Экспорт/импотрт с приватным ключем на нужную машину. Не забудьте что crl не проверятся по ldap пути в CDP.

    HTH

    тут и косячёк :) т.к. privatekey в реестре той машины, с которой генерится запрос :)
    28 августа 2009 г. 10:03
  • Если правильно понял тему, то механизм создания оффлайн-запроса можно глянуть тут
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт

    Если читать статью внимательно...
    "Right click Certificate Templates, select New, click Certificate Template to Issue
    On the Enable Certificate Templates page select L2TP/IPSec (Offline request) on the list and click Ok"
    т. е. тимплейт не тот... не катит :)
    В любом случае, спасибо за ответ.
    Есть ещё варианты?
    28 августа 2009 г. 10:07
  • Нет проблем. Экспортируйте его с приват ключем в p7b формат и отправьте пользователю.
    28 августа 2009 г. 13:41
  • Нет проблем. Экспортируйте его с приват ключем в p7b формат и отправьте пользователю.

    Кстати, если делать реквест с самого сервер ЦС - почему-то теряется прайват-ключ :( => нечего экспортировать
    28 августа 2009 г. 13:50
  • Хе-хе
    Certutil -user -repairstore My "certificate_serial_number"

    и будет вам счастье (c)
    28 августа 2009 г. 14:21
  • Хе-хе
    Certutil -user -repairstore My "certificate_serial_number"

    и будет вам счастье (c)

    Счастье было так близко:)
    Сертификат получил. Выгрузил. Загрузил на клиенте...
    При попытке авторизоваться на IAS =

    username=host/work8.company
    FQ username = COMPANY\host/work8.company - * тут, на мой взгляд, и ошибка
    Connect Request = IAS_NO_SUCH_USER

    -------------------------------
    Сертификат не рабочий :(
    29 августа 2009 г. 6:32
  • Здравствуйте, UCONNECT

    Как мне удалось выяснить, причина такого поведения может быть следующая:

    The process by which an IAS server "cracks" the machine's (or user's) SPN is that

    upon recieveing the "host/machinename.domain.com from the NAS, it passes this
    string to the Global Catalog server via RPC to take the SPN and convert it to a NT

    machine name (DOMAIN\machinename$). If the IAS server logs this error, it is
    because the GC failed to find the SPN in AD.

    IAS tries to crack the username using host/computername.domain.name, which cannot
    be done.

    Вариант решения:

    Use the Proxy’s Realm Stripping rules to fix the SPN prior to forwarding it.

    Whenever a computer sends a request , replace : "host/" with "DomainName\" and
    "domainame.com." with "$"

    Create a conection request policy; e.g Connexion of machine from EUROPE (в Вашем случае COMPANY)

    In Policy conditions:
    User-Name matches "EUROPE" AND
    User-Name matches "host"

    In the Attribute tab of "Edit Profile"
    Add two rules to attribute User-Name
    Find "host/" replace with "EUROPE"
    Find ".europe.mittalco.com" replace with "$"

    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    31 августа 2009 г. 5:51
    Модератор
  • In the Attribute tab of "Edit Profile"
    Add two rules to attribute User-Name
    Find "host/" replace with "EUROPE"
    Find ".europe.mittalco.com" replace with "$"

    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    ... вроде и ОК стало по атрибутам...
    НО - не работает - IAS_AUTH_FAILURE (для всех клиентов стоит  проверка на уровне AD)
    [напоминаю, объект work8.company существует в AD и DNS]
    Есть ещё варинты?
    Заранее спасибо
    31 августа 2009 г. 7:36