none
Проблемы с корневым центром сертификации RRS feed

  • Вопрос

  • Установлен Exchange 2013. На другой машине AD DS. На третей центр сертификации. Всё на Server 2012 r2.
    Сначала почта и клиентские доменные оутлуки работали нормально на самоподписном. Как только я установил центр сертификации, выдал сертификат почтовику, оутлуки везде отвалились. Пишут -невозможно подключиться к серверу.

    Центр сертификации выдавший данный сертификат не является доверенным.

    В папке доверенные корневые центры -сертификаты: у клиентов есть этот сертификат, но во вкладке "путь сертификации" написано: нет доверия к этому корневому центру сертификации, так как он не найден в хранилище доверенных сертификатов центра сертификации.

    Не понимаю, почему СА не попал в доверенные. 
    Скоро интеграция EX2013 на замену 2010, ладно у меня тут тестовая среда,и 2 клиентские машина. Но что будет когда их будет 600? 
    10 июля 2014 г. 12:08

Ответы

  • Лучше все же тестировать валидность сертификата не Outlook'ом, а специализированными средствами.

    Поместите сертификат, который Exchange предоставляет клиенту, на рабочую станцию и проверьте его валидность командой

    certutil -verify -urlfetch <путь до сертификата>


    Microsoft Certified Doing Nothing Expert

    10 июля 2014 г. 13:27

Все ответы

  • День Добрый!

    Не совсем вас понял... На клиентах есть рутовый сертификат центра сертификации?


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    10 июля 2014 г. 12:14
  • День Добрый!

    Не совсем вас понял... На клиентах есть рутовый сертификат центра сертификации?


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    У них появился сертификат с именем центра сертификации.
    Кому выдан: почтовик.contoso.com
    Кем выдан: contoso.CA
    10 июля 2014 г. 12:21
  • В папке доверенные корневые центры -сертификаты: у клиентов есть этот сертификат

    Наверняка вы ошибаетесь. Иначе бы и проблем не было )

    Я правильно понимаю, что у вас схема с Offline Standalone Root CA?

    Если у вас корневой центр сертификации Standalone (не Enterprise), он не публикует свой сертификат в AD, поэтому клиенты ничего о нем не знают и, уж конечно, не считают его доверенным.

    Вы должны самостоятельно позаботиться о том, чтобы рутовый сертификат попал клиентам в доверенные корневые. Правильнее всего всего сделать это, поместив корневой сертификат в специальный контейнер раздела конфигурации AD.

    Для этого выполните команду

    CERTUTIL -f -dspublish <путь до сертификата корневого CA> RootCA

    При каждом применении групповой политики windows-клиент проверяет упомянутый контейнер и копирует его содержимое в локальное хранилище сертификатов, в доверенные корневые.



    Microsoft Certified Doing Nothing Expert

    10 июля 2014 г. 12:39
  • Нет у меня interprise CA и он должен раздавать сертификат сам. 

    Сейчас нашёл вот: 
    http://technet.microsoft.com/ru-ru/library/cc754841.aspx#BKMK_adddomain

    Я так понял нужно добавить корневой центр сертификации в хранилище каждого пользователя. 
    на центре сертификации теперь не получается зайти в веб-шкурку. Пишет веб служба сертификации не запущена.

    10 июля 2014 г. 12:53
  • Я так понял нужно добавить корневой центр сертификации в хранилище каждого пользователя. 

    Замучаетесь. Для этого есть специальный механизм. Я его описал выше.

    на центре сертификации теперь не получается зайти в веб-шкурку. Пишет веб служба сертификации не запущена.

    Так запускайте.


    Microsoft Certified Doing Nothing Expert

    10 июля 2014 г. 13:02
  • Я так понял нужно добавить корневой центр сертификации в хранилище каждого пользователя. 

    Замучаетесь. Для этого есть специальный механизм. Я его описал выше.

    на центре сертификации теперь не получается зайти в веб-шкурку. Пишет веб служба сертификации не запущена.

    Так запускайте.


    Microsoft Certified Doing Nothing Expert

    Дак не через GPO это делается? Через политики открытого ключа?
    Если нет, тогда и вовсе не понимаю как исправить положение.

    Так работает же служба, и сам центр! Запущена ) Самое главное что с других машин заходит. А с самого СА пишет такое. 

    10 июля 2014 г. 13:07
  • 1) Можно через GPO. Это альтернативный механизм.

    2) А зачем вам "веб-шкурка"?


    Microsoft Certified Doing Nothing Expert

    10 июля 2014 г. 13:11
  • 1) Можно через GPO. Это альтернативный механизм.

    2) А зачем вам "веб-шкурка"?


    Microsoft Certified Doing Nothing Expert

    ЧТо бы запросить оттуда сертификат. 
    Скопировал файл сертификата. Закинул его в нужный контейнер в GPMC. По ссылке выше.  Аутлук который стоял на контроллере домена перестал ругаться.
    А вот аутлуки на клиентских машинах win7 32 -теперь просто не могут подключиться к серверу,без всяких обьяснений. 
    Test-ServiceHealth показывает что всё -ОК.
    10 июля 2014 г. 13:20
  • Лучше все же тестировать валидность сертификата не Outlook'ом, а специализированными средствами.

    Поместите сертификат, который Exchange предоставляет клиенту, на рабочую станцию и проверьте его валидность командой

    certutil -verify -urlfetch <путь до сертификата>


    Microsoft Certified Doing Nothing Expert

    10 июля 2014 г. 13:27
  • А как скачать этот сертификат на локальную машину? 
    Я дал почтовому серверу сертификат от центра сертификации, а он наверное подсовывает свой прошлый, по этому аутлуки и отваливаются. Но это всего лишь догадка
    15 июля 2014 г. 8:16
  • А как скачать этот сертификат на локальную машину? 

    Посмотреть сертификаты, используемые тем или иным сервисом, можно командлетом:

    Get-ExchangeCertificates -Server <ServerName> | fl Subject, SerialNumber, Services, thumbprint

    Ну а затем на сервере Exchange найти в оснастке Сертификаты локального компьютера и сохранить на диск


    Microsoft Certified Doing Nothing Expert


    15 июля 2014 г. 8:54
  • Я что-то не совсем понимаю зачем это нужно делать? Ведь точно такой же список сертификатов есть и на контроллере домена и там аутлук работает 100%.

    Кстати после установки CA почта вообще перестала ходить (( 
    15 июля 2014 г. 10:01
  • Я что-то не совсем понимаю зачем это нужно делать? Ведь точно такой же список сертификатов есть и на контроллере домена и там аутлук работает 100%.

    Кстати после установки CA почта вообще перестала ходить (( 

    Первое.

    Если у вас что-то где-то не работает, то надо это что-то тестировать именно там-то, а не на контроллере домена, на котором все работает.

    Я описал вам способ перенести сертификат, используемый сервером Exchange, на проблемную рабочую станцию для его дальнейшей проверки на этой самой рабочей станции.

    Клиент ругается на сертификат, разбирайтесь, на что именно он ругается.

    Второе.

    Про какой список сертификатов вы говорите? Выражайтесь более развернуто, что ли, я перестаю понимать ваши вопросы.


    Microsoft Certified Doing Nothing Expert

    15 июля 2014 г. 10:19
  • Перечень сертификатов в оснастке "сертификаты-доверенные корневые центры сертификации-сертификаты" -один и тот де что на КД что на рабочей станции. 
    Пробовал выполнить команду в cmd из под администратора, возвращает: Отказано в доступе 0х80070005
    15 июля 2014 г. 10:55
  • При выполнеии команды

    certutil -verify -urlfetch <имя сертификата>

    проверяется не только цепочка доверия, но и списки отзыва, соответствие политикам и прочее. Отсутствие ошибок в выводе этой команды - это 99% успеха.

    Пробовал выполнить команду в cmd из под администратора, возвращает: Отказано в доступе 0х80070005

    Я привел командлет powershell, ни о каком cmd речи не было.

    Если вы что-то делаете, то приводите как можно более подробное описание действий. Скриншоты, полный вывод команд и пр. В конце концов, это ведь вам нужно, не так ли?

    Пока что общение в этой ветке напоминает ребус и порядочно утомляет.


    Microsoft Certified Doing Nothing Expert

    15 июля 2014 г. 12:50

  • Я просто не спец, пока учусь, и не знаю что потребуется в решении данной проблемы

    15 июля 2014 г. 13:20
  • Это вы проверили корневой сертификат, с ним все ок.

    Теперь надо проверить сертификат, который вызывает проблемы, то есть сертификат, который Exchange предоставляет клиенту. Как выяснить, какой сертификат используется можно командлетом Get-ExchangeCertificates, который я привел выше. Командлет запускается в окне Exchange Management Shell на сервере Exchange.


    Microsoft Certified Doing Nothing Expert

    16 июля 2014 г. 5:04
  • [PS] C:\Windows\system32>Get-ExchangeCertificate -Server EXtest | fl Subject, SerialNumber, Services, thumbprint


    Subject      : CN=extest.goodtaste.pro, OU=goodtaste, O=IT, L=Тула, S=Тула, C=RU
    SerialNumber : 310000000230DDA5D03CB3ECE8000000000002
    Services     : IMAP, POP, IIS, SMTP
    Thumbprint   : 2CCCE03AFB8CEB66781A55B978D9B2F614D26443

    Subject      : CN=WMSvc-EXTEST
    SerialNumber : 7BAC409D3BCBB1AB4242B09B7EB5666A
    Services     : None
    Thumbprint   : 0E306A7ACE81DDC4162B9CAFBE74DE27BC4D3D4A

    Вот что вернула оболочка. Остальные сертификаты я удалил, так как это самоподписные сертификаты Exchange. В случае чего можно применить снимок виртуальной машины но тогда придётся делать запрос к центру сертификации для выдачи сертификата по новой. 

    Теперь мне нужно проверить подлинность первого сертификата? 
    16 июля 2014 г. 5:56
  • Да, открывайте оснастку управления сертификатами на сервере Exchange и сохраняйте сертификат в файл. Переносите сертификат на проблемную рабочую станцию и проверяйте через certutil

    Microsoft Certified Doing Nothing Expert

    16 июля 2014 г. 6:03
  • В оснастке сертификатов,среди списка сертификатов доверенных корневых центров сертификации я не нашёл сертификата серийный номер которого, совпадал бы с выводом командлета выше.

    Ни в сертификатах пользователя ни в сертификатах локального компьютера. 
    может не там ищу? 

    16 июля 2014 г. 6:20
  • Надо искать в списке личных (Personal) сертификатов компьютера

    Microsoft Certified Doing Nothing Expert

    16 июля 2014 г. 6:26
  • Выполнил как Вы сказали. Вот возврат командлета: 

    PS C:\Windows\system32> certutil -verify -urlfetch c:\cert.cer
    Поставщик:
        CN=goodtaste.CAT
        DC=goodtaste
        DC=pro
    Субъект:
        CN=extest.goodtaste.pro
        OU=goodtaste
        O=IT
        L=Тула
        S=Тула
        C=RU
    Серийный номер сертификата: 310000000230dda5d03cb3ece8000000000002

    dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
    dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
    ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
    HCCE_LOCAL_MACHINE
    CERT_CHAIN_POLICY_BASE
    -------- CERT_CHAIN_CONTEXT --------
    ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    ChainContext.dwRevocationFreshnessTime: 19 Hours, 31 Minutes, 43 Seconds

    SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    SimpleChain.dwRevocationFreshnessTime: 19 Hours, 31 Minutes, 43 Seconds

    CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=goodtaste.CAT, DC=goodtaste, DC=pro
      NotBefore: 10.07.2014 13:45
      NotAfter: 09.07.2016 13:45
      Subject: CN=extest.goodtaste.pro, OU=goodtaste, O=IT, L=Тула, S=Тула, C=RU
      Serial: 310000000230dda5d03cb3ece8000000000002
      SubjectAltName: DNS-имя=extest.goodtaste.pro, DNS-имя=AutoDiscover.goodtaste.pro, DNS-имя=AutoDiscover.easystep.ru, DN
    S-имя=goodtaste.pro, DNS-имя=easystep.ru
      Template: WebServer
      2c cc e0 3a fb 8c eb 66 78 1a 55 b9 78 d9 b2 f6 14 d2 64 43
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Недопустимый поставщик "Сертификат (0)" Время: 0
        [0.0] ldap:///CN=goodtaste.CAT,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=goodtaste,DC=pro?cACert
    ificate?base?objectClass=certificationAuthority

      Проверено "Сертификат (1)" Время: 0
        [0.1] ldap:///CN=goodtaste.CAT,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=goodtaste,DC=pro?cACert
    ificate?base?objectClass=certificationAuthority

      ----------------  Сертификат CDP  ----------------
      Проверено "Базовый CRL (02)" Время: 0
        [0.0] ldap:///CN=goodtaste.CAT,CN=CAt,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=goodtaste,DC=pro
    ?certificateRevocationList?base?objectClass=cRLDistributionPoint

      Проверено "Разностный CRL (02)" Время: 0
        [0.0.0] ldap:///CN=goodtaste.CAT,CN=CAt,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=goodtaste,DC=p
    ro?deltaRevocationList?base?objectClass=cRLDistributionPoint

      ----------------  Базовый CRL CDP  ----------------
      ОК "Разностный CRL (07)" Время: 0
        [0.0] ldap:///CN=goodtaste.CAT,CN=CAt,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=goodtaste,DC=pro
    ?deltaRevocationList?base?objectClass=cRLDistributionPoint

      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------
        CRL 02:
        Issuer: CN=goodtaste.CAT, DC=goodtaste, DC=pro
        71 58 02 2f 2c cc 8d eb 3b 6f 0a f8 3b 19 ac b3 23 30 3b b6
        Delta CRL 07:
        Issuer: CN=goodtaste.CAT, DC=goodtaste, DC=pro
        3b ad 1b 87 fa 46 77 e7 ec b4 3e c9 40 19 3a a2 19 ed d1 12
      Application[0] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера

    CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
      Issuer: CN=goodtaste.CAT, DC=goodtaste, DC=pro
      NotBefore: 10.07.2014 12:48
      NotAfter: 10.07.2019 12:58
      Subject: CN=goodtaste.CAT, DC=goodtaste, DC=pro
      Serial: 48525a9525dacbbc4f0860c6ccae1af4
      Template: CA
      fb 42 f8 be 6b ce 1b 2d bf c5 23 ea 07 c6 b2 b8 47 c8 e0 4b
      Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
      Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  Сертификат CDP  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------

    Exclude leaf cert:
      91 a0 a3 ad c2 a6 d9 76 d7 fe 84 6e 21 4a ce d6 01 4c 09 d2
    Full chain:
      ca 5a 6e 63 4c 1a f8 ca a7 b8 c8 9b e2 b0 75 ae 84 40 b8 fa
    ------------------------------------
    Проверенные политики выдачи: Нет
    Проверенные политики применения:
        1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
    Проверка отзыва сертификата выполнена
    CertUtil: -verify - команда успешно выполнена.

    16 июля 2014 г. 7:50
  • С сертификатом все в порядке.  Возвращаемся к вопросу, что именно не работает? Какие-то ошибки в Outlook?

    Microsoft Certified Doing Nothing Expert

    16 июля 2014 г. 9:12
  • С сертификатом все в порядке.  Возвращаемся к вопросу, что именно не работает? Какие-то ошибки в Outlook?

    Microsoft Certified Doing Nothing Expert

    Outlook 2013: не удаётся подключиться к серверу. Больше никакой информации не выдаёт.
    В events появляется следующее: 

    "Не удается найти описание для идентификатора события 0 из источника MSOIDSVC.EXE. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.

    Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием.

    К событию были добавлены следующие сведения: 

    InitializeSvcAPI failed with hr = 0x80048883"

    Перестала ходить почта, как внутри предприятия так и наружу. Очереди пустые. Напомню, стоит почтовый шлюз Postfix. Ни на Exchange ни на Postfix в очередях ничего не повисает. 

    Всё это стало происходить после установки центра сертификации в режиме предприятия.

    16 июля 2014 г. 11:34
  • В папке доверенные корневые центры -сертификаты: у клиентов есть этот сертификат, но во вкладке "путь сертификации" написано: нет доверия к этому корневому центру сертификации, так как он не найден в хранилище доверенных сертификатов центра сертификации.

    у меня проблема возникла при переходе на корневые для сертов по 2012 госту. Не хотел он ставиться ни в какую (корневик). Решение как не странно крылось в правке реестра и удалении веток.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

    Решение нашел тут http://narsana.top/kazna/155-net-doveriya-k-etomu-kornevomu-sertifikatu-centra-sertifikacii.html