none
MS CA: Автовыдача Сертификатов RRS feed

  • Вопрос

  • Доброго времени суток. Настраиваю "Certificate Autoenrollment".
    Вручную сертификаты запросить и выдать можно, а автоматическое получение сертификатов ни для компьютеров, ни для DC не включается.

    Система такая:

    1. RootCA Standalone CA: w2k3EER2SP2

    2. SubCA Enterprice CA: w2k3EER2SP2

    3. 2 Domain Controller: dc1,dc2 : w2k3EER2SP2

    4. User PC: xpsp3

    Детально распишу, что сделано:

    - В AD - включил режим работы домена - Win 2003
    - Внес группу Domain Controllers и Domain Computers в группу CERTSVC_DCOM_ACCESS.
    - В консоли управления CA добавил темплейты Enrollment Agent, Enrollment Agent (Computer), Domain Controllers (копия шаблона), Computer(копия шаблона) (Certificate Templates -> New -> Template to Issue).
    - В Default Domain Controller Policy разрешил Certificate Autoenrollment с включёнными опциями обновления сертификатов (две галочки стоят)
    - На самом SubCA и dc - ошибок нет нигде, но и не работает автоматическая выдача сертификатов.
    - На SubCA один раз были два эвента 19: Autoenrollment о том, что успешно получены два сертификата Domain Controllers (копия шаблона), Computer(копия шаблона)
    - Выполнял gpupdate /force и перезагрузку DC несколько раз, но больше никаких автозаявок и запросов небыло. Событий источника Autoenrollment также нет больше.
    - Перепроверил ACL список в шаблонах Domain Controllers (копия шаблона), Computer(копия шаблона)
    - Перепроверил синхронизацию времени - синхронизируется

    Подскажите что еще проверить?

Ответы

  • 1. Установите в шаблоне CAPolicy.inf более длительное время жизни сертификатов CA
    2. Переустановите Certificate Services на рутовом и Sub CA
    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    • Помечено в качестве ответа Legioner 27 августа 2009 г. 7:03
    13 августа 2009 г. 11:56
    Модератор

Все ответы

  • Для начала надо посмотреть, что покажет утилита "pkiview" о состоянии PKI.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • Для начала надо посмотреть, что покажет утилита "pkiview" о состоянии PKI.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    http://slil.ru/27809191

    pkiview показал 2 ошибки в RootCA:
    - AIA Location #1 Unable to Download http://subca2.domain.intranet/CertEnroll/RootCA.crl
    - AIA Location #2 Unable to Download file://\\SubCA2.domain.intranet\CertEnroll\RootCA.crl
    - все остальное Ок

    Выбрал Copy URL - проверил на самом RootCA (специально его включил) - доступ есть, только нужно ввести учетные данные из AD
    обновил pkiview - по прежнему Error

    SubCA - всё Ок
    3 июля 2009 г. 10:19
  • Картинку загрузить не смог...

    У Вас корневой УЦ "RootCA" отключенный (offline) и на нем же есть CDP и AIA? А что за "SubCA2"? Настройте правильно "extensions" на руте, указывающие на доступный сервер с правильным URL, лучше только на HTTP без всяких там "LDAP" и пр. "file://", которые нужно указать отражать в выпущенных сертификатах, опубликуйте crl (crl для рута - без дельты) и сертфикат рута на этот доступный сервер, а потом перевыпустите сертификат подчиненному "SubCA". В AD сертификаты SubCA обновить не забудьте ("certutl -dspublish").

    Когда будете править "extensions" на руте делайте это очень внимательно: прежде чем внести путь - проверьте его достижимость с "SubCA".


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    4 июля 2009 г. 11:46
    Отвечающий

  • опубликуйте crl (crl для рута - без дельты) -  для этого достаточно убрать галочку: Include in CRLs. Clients use this to find Delta CRL locations. ?
    Я настраивал extensions на руте так, как описано в данной статье: http://system-administrators.info/?p=1967 - У меня такое ощущение, что для autoenrollment нужно поднимать CA заново и подругому.
  • Legioner, да, CRL рута нужно публиковать без дельты и, соответственно, указывать в вупущенных сертификатах на путь без дельты - "галочку" правильную Вы указали. Лень читать статью. Смысл в том, что расширения в выпущенных сертификатах должны указывать на действительные и доступные размещения. Так что меняйте URL'ы и перевыпускайте сертификат подчиненного.

    Автоматическая подача заявок никак с рутом не связана. Если у Вас Enterprise Subordinate CA обладает сертификатом, выпушенным Root CA, и клиент этим УЦ доверяет, то, по идее, никаких проблем быть не должно. CDP и AIA должны быть доступны.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • Legioner, да, CRL рута нужно публиковать без дельты и, соответственно, указывать в вупущенных сертификатах на путь без дельты - "галочку" правильную Вы указали. Лень читать статью. Смысл в том, что расширения в выпущенных сертификатах должны указывать на действительные и доступные размещения. Так что меняйте URL'ы и перевыпускайте сертификат подчиненного.

    Автоматическая подача заявок никак с рутом не связана. Если у Вас Enterprise Subordinate CA обладает сертификатом, выпушенным Root CA, и клиент этим УЦ доверяет, то, по идее, никаких проблем быть не должно. CDP и AIA должны быть доступны.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)

    Автоматическая подача заявок переустановкой SubCA ,без вмешательсва в RootCA заработала. Все контроллеры, компьютеры получили сертификаты. На следующий день - т.е. сегодня в тестовых целях вручную отозвал сертификат для dc2 (контроллер домена), на самом dc2 удалил сертификат, после чего ожидал получить новый, но вместо этого в журнале после перезагрузки, только ошибка:

    Тип события: Ошибка
    Источник события: AutoEnrollment
    Категория события: Отсутствует
    Код события: 13
    Дата:  11.07.2009
    Время:  16:18:56
    Пользователь:  Н/Д
    Компьютер: DC2
    Описание:
    Автоматическая подача заявки на сертификат Локальная система: не удалось подать заявку на один сертификат Проверка подлинности контроллера домена (0x80092013).  Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен .



    Варианты на eventid.net конкретно для кода 0х80092013 не помогли и закончились быстро:

    1. На SubCA:
    certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc

    2. На SubCA в группу CERTSVC_DCOM_ACCESS добавил: "Domain Computers", "Domain Controllers"
    3. В шаблоне сертификата "Проверка подлинности контроллера домена" в Безопасности для группы "Контроллеры домена " права есть.
    4. Время синхронизируется везде.
    5. dcdiag только passed.
    6. firewall между SubCA и dc2 не установлен, друг друга видят.

    Подскажите какие еще варианты можно проверить?
    11 июля 2009 г. 14:06
  • 1. Установите в шаблоне CAPolicy.inf более длительное время жизни сертификатов CA
    2. Переустановите Certificate Services на рутовом и Sub CA
    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    • Помечено в качестве ответа Legioner 27 августа 2009 г. 7:03
    13 августа 2009 г. 11:56
    Модератор
  • Никита, если у Легионера возникает ошибка "<...> невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен <...>", то стало быть, проблема в недоступности CDP, т.е. либо неправильно прописана, либо опубликована не там (или недоступна), либо не опубликована вовсе (может, банально, CRL не выгружен) А переустанавливать подчиненный и, тем более, править политику нет оснований - нужно чинить CDP, т.к. автовыдача спотыкается именно в отстутствие доступа к CRL'у. В общем, надо с PKIview консультироваться и проверять пути к CRL, их доступность по этим путям.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    13 августа 2009 г. 15:46
    Отвечающий
  • Дмитрий, точно такая же проблема решалась саппортом Майкрософт. И я привел ее решение, которое реально помогло.
    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    • Помечено в качестве ответа Legioner 27 августа 2009 г. 7:02
    • Снята пометка об ответе Legioner 27 августа 2009 г. 7:02
    14 августа 2009 г. 6:00
    Модератор
  • Автовыдача заработала сразу после переустановки CA.
    27 августа 2009 г. 7:02
  • Эээх, как все "просто".... :)
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    27 августа 2009 г. 7:38
    Отвечающий