none
Проблемы с авторизацией сертификатов c использованием E-token. RRS feed

  • Вопрос

  • Доброго времени суток.

    Есть AD DC (S1) win2003 sp2. На нем развернут центр сертификации. Есть шлюз MS ISA 2006. На нем средствами ISA поднят VPN. Через web интерфейс выдаем сертификаты на ключи E-token. Пользователи подключаются с любой точки и имеют доступ к своим корпоративным ресурсам. Всё замечательно... Было до вчерашнего дня.

    Вчера при подключении через VPN перестало пускать. Говорило, что неверный логин пароль. Хотя для соединения VPN они не нужны. После 4 часов всяких изотерических ритуалов, проблема была решена. ISA не пускала трафик на S1, для проверки сертификатов.

    Сегодня ситуация следующая. Все выданные ранее сертификаты на ключи работают. А которые выданы сегодня нет. При подключении VPN пишет следующее "Проверка имени и пароля. Ошибка 0х8009030С. Попытка входа в систему неудачна". На ISA появляются два сообщения:

    Тип события: Предупреждение
    Источник события: RemoteAccess
    Категория события: Отсутствует
    Код события: 20014
    Дата:  02.07.2010
    Время:  12:25:05
    Пользователь:  Н/Д
    Компьютер: ISA
    Описание:
    Пользователь "Pupkin@mydomen.local" подключился, но не прошел проверку подлинности на порте "VPN7-199". Связь была отключена.

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

    Тип события: Предупреждение
    Источник события: RemoteAccess
    Категория события: Отсутствует
    Код события: 20189
    Дата:  02.07.2010
    Время:  12:25:05
    Пользователь:  Н/Д
    Компьютер: ISA
    Описание:
    Пользователь "Pupkin@mydomen.local", подключен с "ip-адрес", но не прошел проверку подлинности, поскольку Цепочка сертификатов обработана правильно, но один из сертификатов ЦС не имеет доверия от поставщика политики.

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

    Вчера на горячую голову создали два корневых сертификата. Сейчас их 3. Мне кажется дело в них.

    1. Можно как-нибудь удалить свежесозданные корневые сертификаты?
    2. Поставщиком политики является сервер сертификации? В моем случае S1.
    3. Как проверить доверия всех сертификатов в цепочки?

    Заранее всем спасибо.

Ответы

  • Приветствую, Александр.

    1. Нет необходимости удалять их. Все будет работать с последним из них - текущим. Фактически вы спонтанно выполнили процедуру Обновление центра сертификации

    2. В вашем случае не обращайте внимания на слово "политика" :) В оригинале его все равно там нет... ISA-сервер пожаловался на то, что в его контейнере доверенных корневых центров сертификации нет вашего последнего из трех свежих сертификатов корневого ЦС. Поместите его туда и все заработает. Так же проверьте, чтобы новый сертификат корня распространился по всем компьютерам, имеющим дело с вашей системой PKI.

    3. Двойным кликом открыть сертификат и проверить наличие предупреждений на закладке "Путь сертификации". Если все чисто - доверие есть.

    Рекомендации:

    1. Почитать документацию о PKI.

    1. Разнести КД и ЦС по разным серверам.

    2. Разнести корневой и выдающий ЦС по разным серверам. Отключить корневой от сети.

    4 июля 2010 г. 21:13
    Модератор
  • Спасибо Егор. Все что вы сказали помогло. Еще проштрудировал, help по certutil, очень полезная штука оказалась, для диагностики. И еще на ноуте на котором проверял пришлось удалить все сертификаты из промежуточного центра сертификации. Только после этого все заработало.

Все ответы

  • Приветствую, Александр.

    1. Нет необходимости удалять их. Все будет работать с последним из них - текущим. Фактически вы спонтанно выполнили процедуру Обновление центра сертификации

    2. В вашем случае не обращайте внимания на слово "политика" :) В оригинале его все равно там нет... ISA-сервер пожаловался на то, что в его контейнере доверенных корневых центров сертификации нет вашего последнего из трех свежих сертификатов корневого ЦС. Поместите его туда и все заработает. Так же проверьте, чтобы новый сертификат корня распространился по всем компьютерам, имеющим дело с вашей системой PKI.

    3. Двойным кликом открыть сертификат и проверить наличие предупреждений на закладке "Путь сертификации". Если все чисто - доверие есть.

    Рекомендации:

    1. Почитать документацию о PKI.

    1. Разнести КД и ЦС по разным серверам.

    2. Разнести корневой и выдающий ЦС по разным серверам. Отключить корневой от сети.

    4 июля 2010 г. 21:13
    Модератор
  • Спасибо Егор. Все что вы сказали помогло. Еще проштрудировал, help по certutil, очень полезная штука оказалась, для диагностики. И еще на ноуте на котором проверял пришлось удалить все сертификаты из промежуточного центра сертификации. Только после этого все заработало.