Приветствую участников.
Хочу внедрить на предприятии аутентификацию на токенах.
Развернул ЦС. Настроил шаблон автоматической выдачи. Успешно получил сертификат.
Пробую проверить отзыв сертификата.
Отозвал свой личный сертификат, опубликовал список CRL. В списке сертификат присутствует.
Импортировал списки отмены в локальное хранилище (для пущей верности). В хранилище теперь присутствуют как мой личный, так и списки отмены.
В настоящий момент у меня нет "действительного" сертификата, тем не менее я успешно авторизуюсь и пользуюсь ресурсами домена.
Сертификат выдан на месяц.
Вижу сопутствующие проблемы, GPO не применяется к компьютеру в части Политик открытого ключа (конфигурация Компьютер и Пользователь). В них определены параметры автоматической выдачи сертификата, и параметры подтверждения пути сертификатов. После применения политик (gpupdate /force) при просмотре локальной политики параметры остаются неизменными (по умолчанию). При этом другие политики (например Безопасности, применяются от GPO которая определена для данной OU. RSoP показывает что к моей машине и текущему пользователю успешно применены выше описанные параметры.
Причина это или нет, но даже если я вручную в локальной политики определяю параметры аналогичные GPO нужные мне для верной работы проверки списков отмены, у меня все равно не получается корректно настроить работу с сертификатами.
Как настроить: а)отмену действия отозванного сертификата б) применение политики к рабочей станции
И еще такой вопрос, как ведет себя система при наступлении случая отзыва сертификата, не дает авторизоваться в домене? И при этом, какой правильный путь получения нового сертификата (если пользователь не сможет выйти, то он не сможет пройти процедуру запроса).
Спасибо.
