Коллеги, подскажите в чем косяк- столкнулся проблемой: машины под Windows 7 не хотят логинится по RDP на сервер Win2008R2.
Детально проблема выглядит так:
- есть домен: vfrta.loс
- развернута 2-х двухуровневая PKI: корневой Standalone CA и Ent CA выдающий в домене.
- CDP и AIA расширения - на локальный web-сервер. Ссылок LDAP нет.
- OCSP Responder настроен и работает(настраивал по мануалу
Настройка OCSP в блоге Вадима ) на Issue Sub CA
- Standalone CA выключен, но его crt и crl лежат на web-сервере.
- SubCA естественно включен, и его crt и crl также лежат на web-сервере.
- Сервер TS имеет сертификат выдвный SubCA(и соответственно всю цепочку сертификатов). CRL на web-сервере доступны.
- Сервер TS настроен на защиту RDP-сессии с использованием SSL и выданного сертификата.
- На клиенте win7 цепочка сертификатов(RootCA- в доверенных корневых УЦ компьютера, SubCA - в промежуточных УЦ компьютера). CRL на web-сервере доступны(через браузер всё нормально читает и скачивает).
Сертификата компьютера на клиенте нет (но по идее это не должно мешать).
- Оснастка EntPKI ошибок не выявляет - всё доступно и работает
- Клиенты win7 не могут подключится к серверу - вылетает ошибка "Не удалось проверить не был ли отозван этот сертификат" . ИЧСХ,
клиенты под XP SP3 заходят .
Вывод certutil -verify -urlfetch
Поставщик:
CN=VFRTA Class 1 Issuing SubCA1
CN=it-group
O=VFRTA
C=RU
Субъект:
CN=*********
Серийный номер сертификата: 14cead0a000000000007
dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwRevocationFreshnessTime: 1 Days, 20 Hours, 15 Minutes, 37 Seconds
SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwRevocationFreshnessTime: 1 Days, 20 Hours, 15 Minutes, 37 Seconds
CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
Issuer: CN=VFRTA Class 1 Issuing SubCA1, CN=it-group, O=VFRTA, C=RU
NotBefore: 28.12.2010 12:46
NotAfter: 28.12.2011 12:46
Subject: CN=************
Serial: 14cead0a000000000007
SubjectAltName: Другое имя:GUID объекта DS=04 10 b4 f6 1a 74 48 90 f3 47 b4 cc 6a ef 0b a3 17 1b, DNS-имя=VFRTADC1.vfrta.local
Template: DomainController
31 1a 55 7a 80 80 a3 d6 eb 25 21 7b bb 88 d9 8c 78 26 d8 59
Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
---------------- Сертификат AIA ----------------
Проверено "Сертификат (0)" Время: 0
[0.0] http://********/pki/VFRTA_SubCA1.crt
---------------- Сертификат CDP ----------------
Проверено "Базовый CRL (03)" Время: 0
[0.0] http://********/pki/VFRTA_SubCA1.crl
Проверено "Разностный CRL (03)" Время: 0
[0.0.0] http://********/pki/VFRTA_SubCA1+.crl
---------------- Базовый CRL CDP ----------------
Отсутствуют URL "Нет" Время: 0
---------------- OCSP сертификата ----------------
Проверено "Протокол OCSP" Время: 0
[0.0] http://$$$$$$$$$/ocsp
--------------------------------
CRL (null):
Issuer: CN=$$$$$$$$$$
74 a1 17 5c 79 50 1e 9f 83 12 e5 63 28 54 83 e3 97 94 b8 a9
Application[0] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
Application[1] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=0
Issuer: CN=VFRTA Class 1 Root Certification Authority, CN="IT-group O=VFRTA C=RU"
NotBefore: 27.12.2010 15:54
NotAfter: 27.12.2020 15:05
Subject: CN=VFRTA Class 1 Issuing SubCA1, CN=it-group, O=VFRTA, C=RU
Serial: 613f5495000000000002
Template: SubCA
d0 e8 44 40 02 cb e6 f5 26 cc a7 1a d1 11 7e 0c 53 3e 4a 7a
Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
---------------- Сертификат AIA ----------------
Проверено "Сертификат (0)" Время: 0
[0.0] http://********/pki/VFRTA_RCA.crt
---------------- Сертификат CDP ----------------
Проверено "Базовый CRL (02)" Время: 0
[0.0] http://*********/pki/VFRTA_RCA.crl
---------------- Базовый CRL CDP ----------------
Отсутствуют URL "Нет" Время: 0
---------------- OCSP сертификата ----------------
Отсутствуют URL "Нет" Время: 0
--------------------------------
CRL 02:
Issuer: CN=VFRTA Class 1 Root Certification Authority, CN="IT-group O=VFRTA C=RU"
89 60 da d2 62 99 ad 65 84 ef 2a 39 0c 10 e1 b3 76 65 2e 56
CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
Issuer: CN=VFRTA Class 1 Root Certification Authority, CN="IT-group O=VFRTA C=RU"
NotBefore: 27.12.2010 14:55
NotAfter: 27.12.2020 15:05
Subject: CN=VFRTA Class 1 Root Certification Authority, CN="IT-group O=VFRTA C=RU"
Serial: 5b157d4257712a8f4a90dcbd7bb02045
16 01 af ae 9f 45 e9 f3 c4 81 1d 57 4f 09 72 04 b9 d0 56 86
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
---------------- Сертификат AIA ----------------
Отсутствуют URL "Нет" Время: 0
---------------- Сертификат CDP ----------------
Отсутствуют URL "Нет" Время: 0
---------------- OCSP сертификата ----------------
Отсутствуют URL "Нет" Время: 0
--------------------------------
Exclude leaf cert:
56 d3 16 5d a1 2e 0d 1d 03 1d 5e bf a3 97 c0 bd f0 39 09 ad
Full chain:
b3 59 9d 22 b7 0b d2 92 49 81 ed 58 af f6 9f 1b b5 e9 62 cb
------------------------------------
Проверенные политики выдачи: Нет
Проверенные политики применения:
1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
Проверка отзыва сертификата выполнена
CertUtil: -verify - команда успешно выполнена.
Много читал интернетов, в частности Vadims Podans's blog , книгу Brian Komar's "Windows Server 2008. PKI and Certificate Security", и кучу форумов где столкнулись с подобной проблемой, в том числе и тему на
TechNet .
Какие могут быть соображения что настроено не так?
