none
Шаблоны сертификатов RRS feed

  • Вопрос

  • Здравствуйте. Помогите пожалуйста в решении проблемы. Обновил сервер с центром сертификации до Enterprise edition. Но шаблон Web-Server всё равно остался версии первой. По идее после того как был установлен Enterprise при открытии остнастки Шаблоны сертификатов система должна была спросить: "обновить их или нет?", но запроса не было. Интересует почему не было запроса?
    17 февраля 2010 г. 13:51

Ответы

  • Так и есть, должно обновится. По аналогии с апгрейдом CA 2000 до CA 2003 (Windows Server 2003, Enterprise Edition):

    The upgrade process of an enterprise CA must be performed by an administrator who is a member of the forest root Domain Admins group and the Enterprise Admins group.

    To upgrade the certificate templates, perform the following procedure after the upgrade for a Certification Authority to Windows Server 2003 or the installation of a new Windows Server 2003 CA on the network:

    1. Upgrade to the Windows Server 2003 schema.
    2. Log on as a user account that is a member of the forest root Domain Admins group and the Enterprise Admins group.
    3. At a Windows Server 2003, Enterprise Edition CA (the CA can be running on Windows Server 2003, Windows Server 2003, Enterprise Edition, or Windows Server 2003, Datacenter Edition configured as a member-server or Domain Controller), run the Certificate Templates MMC console (certtmpl.msc).<!---->
    4. When prompted to write new certificate templates, click OK.


      noteNote
      An upgrade of the certificate templates is performed run if a new Windows Server 2003 CA is installed in the forest. If a Windows 2000 CA is upgraded to Windows Server 2003, the template upgrade is not performed automatically and will only be performed when the certificate templates MMC snap-in is opened for the first time. You can still verify that the update has taken place, but the process is performed automatically.

      http://technet.microsoft.com/en-us/library/cc787721(WS.10).aspx
      http://technet.microsoft.com/en-us/library/cc731682(WS.10).aspx

    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Так же, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение".
    • Помечено в качестве ответа DKu 18 февраля 2010 г. 21:03
    17 февраля 2010 г. 16:28
  • Ну и конечно вопрос решился изменением значения атрибута msPKI-Private-Key-Flag этого шаблона через Конфигурацию. Всем ещё раз спасибо.

    18 февраля 2010 г. 21:56

Все ответы

  • Не должна была "система спросить". Шаблон "WebServer", предоставляемый по умолчанию, и должен быть первой версии, это стандартный шаблон. Enterprise-редакция всего лишь позволяет оперировать т.н. "управляемыми", "модифицируемыми" шаблонами (версии 2 и 3), но несет тот же стандартный набор шаблонов. А что мешает Вам создать шаблон второй версии на основе шаблона "WebServer" или создать свой собственный "управляемый" шаблон?.. 

    17 февраля 2010 г. 15:14
    Отвечающий

  • At a Windows Server 2003, Enterprise Edition CA (the CA can be running on Windows Server 2003, Windows Server 2003, Enterprise Edition, or Windows Server 2003, Datacenter Edition configured as a member-server or Domain Controller), run the Certificate Templates MMC console (certtmpl.msc).

    When prompted to write new certificate templates, click OK.

    Почему же тогда на Технете вот такие вводные?

    Мешает то, что хотелось бы использовать стандартный шаблон. Сложно поверить в то, что зная о том, что web-server'ы будут публиковаться через ISA MS не предусмотрело выгрузку Private Key для редакции Enterprise. Какой же смысл тогда в обновлении версий сертификатов?
    17 февраля 2010 г. 16:06
  • Так и есть, должно обновится. По аналогии с апгрейдом CA 2000 до CA 2003 (Windows Server 2003, Enterprise Edition):

    The upgrade process of an enterprise CA must be performed by an administrator who is a member of the forest root Domain Admins group and the Enterprise Admins group.

    To upgrade the certificate templates, perform the following procedure after the upgrade for a Certification Authority to Windows Server 2003 or the installation of a new Windows Server 2003 CA on the network:

    1. Upgrade to the Windows Server 2003 schema.
    2. Log on as a user account that is a member of the forest root Domain Admins group and the Enterprise Admins group.
    3. At a Windows Server 2003, Enterprise Edition CA (the CA can be running on Windows Server 2003, Windows Server 2003, Enterprise Edition, or Windows Server 2003, Datacenter Edition configured as a member-server or Domain Controller), run the Certificate Templates MMC console (certtmpl.msc).<!---->
    4. When prompted to write new certificate templates, click OK.


      noteNote
      An upgrade of the certificate templates is performed run if a new Windows Server 2003 CA is installed in the forest. If a Windows 2000 CA is upgraded to Windows Server 2003, the template upgrade is not performed automatically and will only be performed when the certificate templates MMC snap-in is opened for the first time. You can still verify that the update has taken place, but the process is performed automatically.

      http://technet.microsoft.com/en-us/library/cc787721(WS.10).aspx
      http://technet.microsoft.com/en-us/library/cc731682(WS.10).aspx

    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Так же, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение".
    • Помечено в качестве ответа DKu 18 февраля 2010 г. 21:03
    17 февраля 2010 г. 16:28
  • // <...> new certificates templates <...>

    Это подразумевает, что появятся новые шаблоны, типа "CrossCA" и пр.

    // Мешает то, что хотелось бы использовать стандартный шаблон. Сложно поверить в то, что зная о том, что web-server'ы будут публиковаться через ISA MS не предусмотрело выгрузку Private Key для редакции Enterprise. Какой же смысл тогда в обновлении версий сертификатов?

    Не понимаю, какое отношение "выгрузка Private Key" имеет к редакциям/версиям "Certification Authority". Ну, да ладно. Смысл в том, что редакция "Certification Authority" под исполнением Enterprise-редакции системы позволяет выпускать сертификаты на основе шаблонов версии 2 и 3, которые можно гибко настраивать. А вот под "типовые нужды" Microsoft поредоставляет шаблоны стандартные, и, кстати, совершенно справедливо, что системам, обладающим закрытым ключом к сертификату, выпущенному на основе шаблона "WebServer" (как правило - это системы, сильно подверженные угрозам компрометации), не рекомендуется разрешать экспортировать закрытый ключ (в отличие от настроек шаблона "User", например). В общем, если хотите, опубликовать с SSL Ваш веб-сервер на ISA, то выпускайте ему собственный сертификат с совпадающим subject и/или san'ами, ну или, если так хочется, на основе собственного шаблона выпускайте, но уже с возможностью экспортировать закрытый ключ.
    17 февраля 2010 г. 16:45
    Отвечающий
  • Дмитрий, я вроде и не говорил что шаблоны сертификатов зависят от типа CA, т.к. знаю что они зависят от редакции операционной системы. Как бы то ни было, спасибо за совет о публикации.
    Артём, спасибо за выделенную цитату. Теперь понятно, почему не было запроса на обновление шаблонов.

    18 февраля 2010 г. 21:03
  • Ну и конечно вопрос решился изменением значения атрибута msPKI-Private-Key-Flag этого шаблона через Конфигурацию. Всем ещё раз спасибо.

    18 февраля 2010 г. 21:56
  • Не стоит модифицировать шаблоны "напрямую" в AD без крайней необходимости - правильнее было бы создать свой шаблон штатными средствами! Тем более, что еще и получили бы бонусы новой версии. ;)

    19 февраля 2010 г. 20:47
    Отвечающий