none
Настройка центра сертификации RRS feed

  • Вопрос

  • Использую трехуровневая модель

    Есть два центра сертификации RootCA и PolicyCA. Не в домене.OS 2008R2 64-bit.

    Есть необходимость установить один CA 3-его уровня, подчиненный Policy CA

    1.Поднят еще один Standalone Subordinate центр сертификации.

    2.Реквест сгенерирован

    3.На PolicyCA подписан и экспортирован в файл формата DER encoded binary x.509

    4.На сервере 3его уровня инсталлирован серификат.

    5. После чего ругнулся что не видит сертификат PolicyCA- подложил

    6. После чего ругнулся что не видит сертификат RootCA- подложил

     

    7. После чего выдает сообщение Cannot verify certificate chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation because the revocation server was offline.0x80092013(-2146885613)

     

    8.На всякий случай скопировал в Certsrv\CertEnroll  crl-ки с RootCA и PolicyCA.

     

    9.Пытаюсь запустить службу

    Получаю сообщение сертификат для Computername-CA on Computername is missing. Do you want to install this certificate?

    10. Указываю на сертификат полученный в п.3

    и все идет по кругу.

     

    Подскажите где я не прав.



    • Изменено Vjik 29 декабря 2012 г. 9:17
    29 декабря 2012 г. 9:16

Ответы

  • RootCA у вас standalone offline, поэтому поднимать на нем IIS и не нужно, он большую часть времени будет недоступен. Списки отзыва должны публиковаться в высокодоступном месте. Обычно это некий веб-сервер. В вашем случае он имеет имя http://certificate.company.ua.

    Добейтесь того, чтобы списки отзыва стали доступны по транспорту http. Как писал M.V.V.:"Далее, список отзыва сертификатов CA, выпустившего данный сертификат, должен быть доступен по URL, указанном в расшерении CDP этого сертификата." То есть возьмите сертификат RootCA, посмотрите его расширения, найдите пути публикации списков отзыва (CDP). Один из них будет тот самый http://certificate.company.ua/...

    В браузере подчиненного CA откройте этот URL. Должно появиться окно сохранения файла crl. Если этого не произошло - то проверка списков отзыва работать не будет, чините.

    Дополнительно, после того как почините публикацию по http. Раз вы пишете в CDP строчку ldap://... , тогда уж не забудьте опубликовать CRL RootCA в каталоге

    http://blogs.technet.com/b/pki/archive/2007/04/13/manually-publishing-a-ca-certificate-or-crl-into-a-ldap-store.aspx


    MCITP:SA, MCTS:Exchange Configuring

    • Помечено в качестве ответа Vjik 18 февраля 2013 г. 10:38
    26 января 2013 г. 6:23

Все ответы

  • 5. После чего ругнулся что не видит сертификат PolicyCA- подложил

    6. После чего ругнулся что не видит сертификат RootCA- подложил


    Куда подложили-то? Куда надо, т.е.  RootCA - в хранилище доверенных корневых центров сертификации локального компьютера (не учетной записи пользователя!), а PolicyCA - в хранилище промежуточных центров сертификации локального компьютера, или еще куда? Проверьте, оказались ли эти сертификаты в результате там, где надо.

    Далее, судя по всему, у Вас не получается проверить список отзыва для сертификатов, выпущенных PolicyCA (а, возможно - и RootCA). Для устранения:

    - выпустите заново списки отзыва сертификатов (CRL) - через локальное меню узла Отозванные сертификаты в оснаске управления CA или командой certutil

    - посмотрите в расширениях сертификатов CA как настроены у Вас точки распространения списков отозванных сертификатов (в частности, по протоколу HTTP, для независимых CA для распространения CRL используется, как правило, именно этот протокол)

    - попробуйте с CA третьего уровня загрузить списки отозванных сертификатов с точек распространения по протоколу HTTP через браузер. Устраните все неисправности, препятствующие загрузке и убедитесь, что загружаемые списки отзыва - той же версии, что и выпущенные заново. Если у Вас для распространения CRL используется другой протокол - проверяйте его.

    PS На CA существует возможность экспорта всей цепочки сертификатов. Крайне рекомендую.


    Слава России!



    • Изменено M.V.V. _ 29 декабря 2012 г. 11:25
    29 декабря 2012 г. 11:12
  • Куда подложил - признаться не очень уверен.
    Инсталлировал сертификат сервера 3его уровня подписанный PolicyCA.
    После чего был задан вполне конкретный вопрос мол нет возможности проверить подпись PolicyCA  с возможностью указать файл, думаю он должен был бы попасть куда надо.Указал на сертификат PolicyCA.
    После чего такой же вопрос возник относительно RootCA и с возможностью указать сертификат.

    Выпустить новые CRLки - нет возможности, поскольку и RootCA и PolicyCA видят что они еще не просрочены.

    Tочки распространения списков отозванных сертификатов- если можно, поподробнее на что смотреть? (не очень в курсе, извините)

    Выданный PolicyCA для 3его уровня
    [1]CRL Distribution Point
         Distribution Point Name:
              Full Name:
                   URL=ldap:///CN=COMPANY%20POLICY%20CA,CN=POLITIC,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=company,DC=ua?certificateRevocationList?base?objectClass=cRLDistributionPoint
                   URL=http://certificate.company.ua/Certdata/company%20POLICY%20CA.crl


    Выданный RootCA для PolicyCA уровня
    [1]CRL Distribution Point
         Distribution Point Name:
              Full Name:
                   URL=ldap:///CN=COMPANY%20ROOT%20CA,CN=AUTHORITY,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=company,DC=ua?certificateRevocationList?base?objectClass=cRLDistributionPoint
                   URL=http://certificate.company.ua/Certdata/company%20ROOT%20CA.crl


    - по http загрузить не получиться- на offline  серверах (rootca и policyca) нет IIS из соображение безопасности как я понимаю.

    - Относительно экспорта цепочек,не подскажите как (url) и что что мне это даст в конкретной ситуации ?
     
    - Параллельно возник еще вопрос. Этот 3й сервер поднимаю взамен упавшего. Попробовал не выпускать новый с подписыванием у PolicyCA а импортировать со старого 3dCA  согласно AD CS Migration: Migrating the Certification Authority ( policyca.inf+privat key+db+registry+ залил crl с policyca и rootca)Проблема похожая-не могу запустить службу сертификации
    The revocation function was unable to check revocation because the revocation server was offline.0x80092013(-2146885613)
    2 января 2013 г. 14:18
  • Объясните пожалуйста где у меня систематическая ошибка.

    1. Поднял тестовый ROOTCA. Изолированный

    2.Прописал Distinguish Name Suffix CN = ROOTCA, OU = IT Security, O = COMPANY, L = Kyiv, S = Kyiv, C = UA

    Получил два файла - сам сертификат + crl

    3. Руками прописал RootCA-Properties-Extentions

     CDP

    C:\Windows\system32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

    ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>

    http://certificate.company.ua/Certdata/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

    c:\CertData\RootCA<CRLNameSuffix>.crl

    AIA

    C:\Windows\system32\CertSrv\CertEnroll\<ServerDNSName>_<CaName><CertificateName>.crt

    http://certificate.company.ua/CertData/RootCA<CertificateName>.crt

    4. Запустил службу.

    Все вроде нормально.

    5. Поднял PolicyCA. Изолированный, Подчиненный.

    6. Прописал Distinguish Name Suffix CN = ROOTCA, OU = IT Security, O = COMPANY, L = Kyiv, S = Kyiv, C = UA

    7. Указал что подчитяется ROOTCA. Запрос от PolicyCA на RootCA прошел.

    8. В Panding request нашел запрос- подписал. Экспортировал в файл подписаный сертификат PolicyCA

    9.На машине PolicyCA руками прописал PolicyCA-Properties-Extentions

     CDP

    C:\Windows\system32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

    ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>

    http://certificate.company.ua/Certdata/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

    c:\CertData\PolicyCA<CRLNameSuffix>.crl

    AIA

    C:\Windows\system32\CertSrv\CertEnroll\<ServerDNSName>_<CaName><CertificateName>.crt

    http://certificate.company.ua/CertData/PolicyCA<CertificateName>.crt

    10. На машине PolicyCA инсталировал сертификат PolicyCA, после чего выскочило окно

    The root certificate is untrusted. Do you wish to trust the root certificate on this machine and complete the installation? A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487)

     

    11. И даже если подкладываешь rootca.crl в папку Windows\...\ CertEnrollвылазит еще одна ошибка

    The revocation function was unable to check revocation because the revocation server was offline.0x80092013(-2146885613)


    • Изменено Vjik 25 января 2013 г. 10:38
    25 января 2013 г. 10:32
  • Для начала установите сертификат ROOTCA в хранилище доверенных сертификатов компьютера PolicyCA.

    Далее, список отзыва сертификатов CA, выпустившего данный сертификат, должен быть доступен по URL, указанном в расшерении CDP этого сертификата.

    А вообще - учите теорию того, как устроена и работает инфраструктура открытых ключей. Иначе так и будете искать в потемках "систематические ошибки".


    Слава России!

    25 января 2013 г. 19:14
  • RootCA у вас standalone offline, поэтому поднимать на нем IIS и не нужно, он большую часть времени будет недоступен. Списки отзыва должны публиковаться в высокодоступном месте. Обычно это некий веб-сервер. В вашем случае он имеет имя http://certificate.company.ua.

    Добейтесь того, чтобы списки отзыва стали доступны по транспорту http. Как писал M.V.V.:"Далее, список отзыва сертификатов CA, выпустившего данный сертификат, должен быть доступен по URL, указанном в расшерении CDP этого сертификата." То есть возьмите сертификат RootCA, посмотрите его расширения, найдите пути публикации списков отзыва (CDP). Один из них будет тот самый http://certificate.company.ua/...

    В браузере подчиненного CA откройте этот URL. Должно появиться окно сохранения файла crl. Если этого не произошло - то проверка списков отзыва работать не будет, чините.

    Дополнительно, после того как почините публикацию по http. Раз вы пишете в CDP строчку ldap://... , тогда уж не забудьте опубликовать CRL RootCA в каталоге

    http://blogs.technet.com/b/pki/archive/2007/04/13/manually-publishing-a-ca-certificate-or-crl-into-a-ldap-store.aspx


    MCITP:SA, MCTS:Exchange Configuring

    • Помечено в качестве ответа Vjik 18 февраля 2013 г. 10:38
    26 января 2013 г. 6:23