none
Отзыв сертификатов CA Microsoft RRS feed

  • Вопрос

  • Приветствую участников.

    Хочу внедрить на предприятии аутентификацию на токенах.

    Развернул ЦС. Настроил шаблон автоматической выдачи. Успешно получил сертификат.

    Пробую проверить отзыв сертификата.

    Отозвал свой личный сертификат, опубликовал список CRL. В списке сертификат присутствует.

    Импортировал списки отмены в локальное хранилище (для пущей верности). В хранилище теперь присутствуют как мой личный, так и списки отмены.

    В настоящий момент у меня нет "действительного" сертификата, тем не менее я успешно авторизуюсь и пользуюсь ресурсами домена.

    Сертификат выдан на месяц.

    Вижу сопутствующие проблемы, GPO не применяется к компьютеру в части Политик открытого ключа (конфигурация Компьютер и Пользователь). В них определены параметры автоматической выдачи сертификата, и параметры подтверждения пути сертификатов. После применения политик (gpupdate /force) при просмотре локальной политики параметры остаются неизменными (по умолчанию). При этом другие политики (например Безопасности, применяются от GPO которая определена для данной OU. RSoP показывает что к моей машине и текущему пользователю успешно применены выше описанные параметры.

    Причина это или нет, но даже если я вручную в локальной политики определяю параметры аналогичные GPO нужные мне  для верной работы проверки списков отмены, у меня все равно не получается корректно настроить работу с сертификатами.

    Как настроить: а)отмену действия отозванного сертификата б) применение политики к рабочей станции

    И еще такой вопрос, как ведет себя система при наступлении случая отзыва сертификата, не дает авторизоваться в домене? И при этом, какой правильный путь получения нового сертификата (если пользователь не сможет выйти, то он не сможет пройти процедуру запроса).

    Спасибо.

    29 марта 2010 г. 7:10

Ответы

  • 1. про отзыв сертификатов - контролеры домена проверяют списки CRL только при обновлении билета Керберос. У меня этот параметр был равен 10 часам, по умолчанию. Собственно это и сбивало с истины.

    2. применение политик - gpresult /z дала мне пищу для ума и решения проблемы.

    3. я  настраивал данное дейтсво сразу на двух клиентах XP и Windows 7, при этом на 7 сразу заработал autoenrollment а вот с ХР пришлось повозиться по поводу ошибки: "не удалось подать заявку на один сертификат AutoPKI User (0x80090022).  Поставщик не смог выполнить действие, поскольку контекст был получен как "тихий"

    Для потомков сообщаю что данная проблема связана с применением смарт карты или токена, когда от пользователя требуется активность но при этом в шаблоне сертификата стоит "Подать заявку для субъекта не требуя ввода данных". Выставление параметра "Запрашивать пользователя во время регистрации" сняло этот вопрос.

    2 апреля 2010 г. 2:22

Все ответы

  • Всем спасибо разобрался. Можно топик закрыть.
    30 марта 2010 г. 4:30
  • Может огласите решение для потомков?))

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    1 апреля 2010 г. 6:41
    Модератор
  • 1. про отзыв сертификатов - контролеры домена проверяют списки CRL только при обновлении билета Керберос. У меня этот параметр был равен 10 часам, по умолчанию. Собственно это и сбивало с истины.

    2. применение политик - gpresult /z дала мне пищу для ума и решения проблемы.

    3. я  настраивал данное дейтсво сразу на двух клиентах XP и Windows 7, при этом на 7 сразу заработал autoenrollment а вот с ХР пришлось повозиться по поводу ошибки: "не удалось подать заявку на один сертификат AutoPKI User (0x80090022).  Поставщик не смог выполнить действие, поскольку контекст был получен как "тихий"

    Для потомков сообщаю что данная проблема связана с применением смарт карты или токена, когда от пользователя требуется активность но при этом в шаблоне сертификата стоит "Подать заявку для субъекта не требуя ввода данных". Выставление параметра "Запрашивать пользователя во время регистрации" сняло этот вопрос.

    2 апреля 2010 г. 2:22