none
Вопросы по PKI RRS feed

  • Вопрос

  • Добрый день.

    Решили у нас сделать PKI для шифрования почтовых сообщений, почтовый сервер Exchange 2007.

    По статьям MVP Security сделаны два сервера сертификации Root Standalone и Enterprise Sub. Создан дополнительный шаблон пользователя V2 на основе стандартного, в котором задана публикация в AD и запрет выдачи повторного сертификата при наличии в AD. Корневой сертификат прописан в список доверенных корневых через политику и на компьютерах он виден. Затем создана политика Autoenrollment-а, фильтруемая по группе пользователей, которым должны выдаваться сертификаты (позже выяснилось, что Autoenrollment задан во всех политиках и пришлось во всех них запрещать Autoenrollment). Ещё реализован и проверен в консоли на сервере OCSP.
    На тестовых серверах данная схема работала отлично - сертификаты выдавались, письма шифровались, проблем не было.

    На рабочей сети в целом тоже работает, но есть некоторые неприятные особенности, сводящие на нет всё это решение. Проблемы разные, не факт, что взаимосвязанные, но в комплексе получается плохо. Хочется решить проблемы, чтобы можно было начинать промышленную эксплуатацию.

    В этом топике напишу об одной проблеме, в других темах напишу про другие сложности.

    При установленных в шаблоне галочкам "Publish certificate in Active Directory" и "Do not automatically re-enroll if a duplicate certificate exists in Active Directory" сертификат может выдаться заново при наличии правильного в AD и это видно в свойствах пользователя. Иногда там видно два сертификата, иногда как мне помнится сертификат замещался. В результате пользователю посылаю письмо зашифрованное новым ключом и он не может прочитать старым (у меня, как помнится, сертификат замещался и я импортировал старый с рабочего компьютера, где он локально остался, в свойства пользователя в AD). Видимо сертификат выдается на других компьютерах или серверах, на которых заходит пользователь под своей учетной записью. Проблем с этой стороны не ожидалось, так как вроде есть специальная галочка для предотвращения именно этой ситуации.

    Интересно понять почему он выдается повторно и как этого избежать.

    На обоих CA Windows Server 2008 R2, домен и лес Windows Server 2003. Если нужна дополнительная информация, постараюсь предоставить.

    29 марта 2011 г. 12:39

Все ответы

  • Политика автоэнроллмента должна назначаться на уровне всего домена. Security filtering не применять. Разрешения (кому можно, а кому нельзя использовать автоэнроллмента) должны назначаться только на уровне шаблонов сертификатов. Что касается множественного энроллмента, то тут решения 2:

    1) смарт-карты

    2) Credential Roaming Service.


    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    31 марта 2011 г. 8:02
  • Вадимс, спасибо за советы. Про Credential Roaming Service почитаю, сильно сомневаюсь в закупке смарт-карт.

    То, что галочка "Do not automatically re-enroll if a duplicate certificate exists in Active Directory" не помогает - это ошибка Microsoft или я что-то не понимаю?

    31 марта 2011 г. 10:02
  • эта галочка по идее должна предотвращать автоматический запрос сертификата с этого шаблона, если действующий сертификат опубликован в AD в свойствах пользователя. Но, тут очевидно, что Credential Roaming Service ваш единственный выход.
    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com
    4 апреля 2011 г. 9:09
  • эта галочка по идее должна предотвращать автоматический запрос сертификата с этого шаблона, если действующий сертификат опубликован в AD в свойствах пользователя. Но, тут очевидно, что Credential Roaming Service ваш единственный выход.
    My weblog: http://en-us.sysadmins.lv
    PowerShell PKI Module: http://pspki.codeplex.com


    С вашего позволения, вклинюсь...

    Уже вторую неделю мучаюсь с autoenrollment, очень сильно мешает его непрогнозируемая работа :(

    Есть шаблон сертификата, сделанный на основе Exchange Users. В нем указано что не надо енролить сертификат повторно, если у юзера уже есть это счастье. Как и заментил Юрий, эта галка не работает, либо работает по какой-то своей логике. Прочитал книжку Брайна Комара по PKI, там упоминался Credential Roaming Service. Окрыленной радостью настроил эту фишку и посчитал что вопрос закрыт. Но нет, сегодня обнаружил еще один сертификат, выпущенный по этому шаблону. Причем, благодаря Roaming, не могу понять куда я логинился, что его подцепил.

    PS: версия шаблона не менялась, minor и major те же самые. Сертификат выдавался на год, с перевыпуском через 9 месяцев. Однако выпустился второй сертификат через 5 дней...

    Есть какие-нибудь более радикальные методы?


    22 апреля 2011 г. 11:22
  • Я использовал два метода "Credential Roaming Service" и "Key Archiving", в результате пока сертификатов повторно не выдавалось, но даже если где-то и выдастся, то я смогу вернуть пользователю его исходный сертификат.
    27 июля 2011 г. 10:17
  • спасибо, на самом деле key archiving в моем случае тоже был, но он не спасает от выдачи лишних сертификатов.

    А с проблемой я разобрался - на одном из доменов политика по Credential Roaming была настроена, но не прилинкована к нужному AD. Сейчас все работает строго по описанию.

    27 июля 2011 г. 12:19