none
Certification Authority. автоматическая подача заявки на сертификаты RRS feed

  • Общие обсуждения

  • В домене поднят центр сертификации. Настроена автоматическая раздача сертификатов машинам через дефолтную груповую политику. Имеется группа машин находящиеся в одной подсети занесенные в домен.
    Проблема заключается в следующем:
    Часть из них получила сертификаты автоматически, а часть не получает.
    1. В ивент логах на сервер ничего нет.
    2. На машина которые не получают сертификаты автоматически была запущена утилита для тестирования доступности сервиса
    certutil -ping -config cert.com\rootca
    результат оказался положительным
    Connecting to cert.com\rootca ...
    Server "rootca" ICertRequest2 interface is alive
    CertUtil: -ping command completed successfully.
    3. Если на машине которая не получает сертификат автоматически запросить его "ручками" то сертификат выписывается.
    При перезагрузке в логах на машине которая не получает сертификат автоматически появляются записи.
    Тип события: Уведомление
    Источник события: AutoEnrollment
    Категория события: Отсутствует
    Код события: 2
    Дата: 26.01.2009
    Время: 11:30:27
    Пользователь: Н/Д
    Компьютер: ExArmic
    Описание:
    Автоматическая подача заявки на сертификат для Локальная система начата.
    8 11:35:47: Тип события: Уведомление
    Источник события: AutoEnrollment
    Категория события: Отсутствует
    Код события: 3
    Дата: 26.01.2009
    Время: 11:30:33
    Пользователь: Н/Д
    Компьютер: ExArmic
    Описание:
    Автоматическая подача заявки на сертификат для Локальная система закончена.
    В свою очередь на сервере сертификационного сервиса никакого запроса не наблюдается.

    Еще раз отмечу что половина машин получила сертификаты автоматически согласно политикам.

    Прошу комментарий по данной проблеме. Please Help!!!
    26 января 2009 г. 12:16

Все ответы

  •  Anpleyev Arseniy написано:
    В домене поднят центр сертификации. Настроена автоматическая раздача сертификатов машинам через дефолтную груповую политику. Имеется группа машин находящиеся в одной подсети занесенные в домен.
    Проблема заключается в следующем:
    Часть из них получила сертификаты автоматически, а часть не получает.
    1. В ивент логах на сервер ничего нет.
    2. На машина которые не получают сертификаты автоматически была запущена утилита для тестирования доступности сервиса
    certutil -ping -config cert.com\rootca
    результат оказался положительным
    Connecting to cert.com\rootca ...
    Server "rootca" ICertRequest2 interface is alive
    CertUtil: -ping command completed successfully.
    3. Если на машине которая не получает сертификат автоматически запросить его "ручками" то сертификат выписывается.
    При перезагрузке в логах на машине которая не получает сертификат автоматически появляются записи.
    Тип события: Уведомление
    Источник события: AutoEnrollment
    Категория события: Отсутствует
    Код события: 2
    Дата: 26.01.2009
    Время: 11:30:27
    Пользователь: Н/Д
    Компьютер: ExArmic
    Описание:
    Автоматическая подача заявки на сертификат для Локальная система начата.
    8 11:35:47: Тип события: Уведомление
    Источник события: AutoEnrollment
    Категория события: Отсутствует
    Код события: 3
    Дата: 26.01.2009
    Время: 11:30:33
    Пользователь: Н/Д
    Компьютер: ExArmic
    Описание:
    Автоматическая подача заявки на сертификат для Локальная система закончена.
    В свою очередь на сервере сертификационного сервиса никакого запроса не наблюдается.

    Еще раз отмечу что половина машин получила сертификаты автоматически согласно политикам.

    Прошу комментарий по данной проблеме. Please Help!!!


    • Configure an email address for the User Account
    The user account must have an email address associated with it. User certificate autoenrollment will not work if the account does not have an email address.

    Assigning Certificates to Domain Members via Autoenrollment in a Windows Server 2003 Active Directory Domain
    26 января 2009 г. 12:24
  • ВСе сделано как и в этом документе. Процесс настройки autoenrollment уже снится. Поставил на сервере wireshark. Буду ссылаться на ваш документ. На этапе рисунка 21 кликаю на  Automatically Enroll Certificates. В это время снифаю wireshakom на сервере. Никакой активности не наблюдается. В логах клиента те же записи

    Тип события:    Уведомление
    Источник события:    AutoEnrollment
    Категория события:    Отсутствует
    Код события:    2
    Дата:        27.01.2009
    Время:        8:43:45
    Пользователь:        Н/Д
    Компьютер:    ExArmic
    Описание:
    Автоматическая подача заявки на сертификат для Локальная система начата.

    Тип события:    Уведомление
    Источник события:    AutoEnrollment
    Категория события:    Отсутствует
    Код события:    3
    Дата:        27.01.2009
    Время:        8:43:45
    Пользователь:        Н/Д
    Компьютер:    ExArmic
    Описание:
    Автоматическая подача заявки на сертификат для Локальная система закончена.

    следом запускаю
    на клиенте (машина ExArmic) certutil -ping -config cert.com\rootca. Wireshark отлавливает пакеты с машины ExArmic.


    27 января 2009 г. 4:24
  •  Anpleyev Arseniy написано:
    ВСе сделано как и в этом документе. Процесс настройки autoenrollment уже снится. Поставил на сервере wireshark. Буду ссылаться на ваш документ. На этапе рисунка 21 кликаю на  Automatically Enroll Certificates. В это время снифаю wireshakom на сервере. Никакой активности не наблюдается. В логах клиента те же записи

    Тип события:    Уведомление
    Источник события:    AutoEnrollment
    Категория события:    Отсутствует
    Код события:    2
    Дата:        27.01.2009
    Время:        8:43:45
    Пользователь:        Н/Д
    Компьютер:    ExArmic
    Описание:
    Автоматическая подача заявки на сертификат для Локальная система начата.

    Тип события:    Уведомление
    Источник события:    AutoEnrollment
    Категория события:    Отсутствует
    Код события:    3
    Дата:        27.01.2009
    Время:        8:43:45
    Пользователь:        Н/Д
    Компьютер:    ExArmic
    Описание:
    Автоматическая подача заявки на сертификат для Локальная система закончена.

    следом запускаю
    на клиенте (машина ExArmic) certutil -ping -config cert.com\rootca. Wireshark отлавливает пакеты с машины ExArmic.




    Установлены ли на проблемных ПК антивирусы/firewall ?

    Совпадает ли время с доменным ?

    Какие DNS используют проблемные клиенты ?

    Что происходит после выполнения команды gpupdate /force на проблемных ПК (после перезагрузки) ?
    27 января 2009 г. 7:15
  •  cognize@ написано:

    Установлены ли на проблемных ПК антивирусы/firewall ?


    Да, На всех установлен и запущен Symantec Antivirus

     cognize@ написано:

    Совпадает ли время с доменным ?


    Да совпадает, время синхронизируется.

     cognize@ написано:

    Какие DNS используют проблемные клиенты ?


    Все машины использую одни и те же (их 2)  DNS (Bind)

     cognize@ написано:

    Что происходит после выполнения команды gpupdate /force на проблемных ПК (после перезагрузки) ?

    Машина требует перезагрузки, после перезагрузки в логах на клиенте те же записи (источник Autoenrolllment, коды 2 и 3)

    p.s постаивл на клиентов microsoft network monitor, оказыватеся при нажатии Automatically Enroll Certificates запросы на сертификат не посылаются к серверу. Сверил состояние служб на рабочих и не рабочих ПК. все одинаково. Завтра буду играться с Symantec.
    27 января 2009 г. 8:07
  • Для начала, назовите ОС и тип CA

     

    27 января 2009 г. 14:10
    Отвечающий
  • vanchello написал:

    Для начала, назовите ОС и тип CA

     

     

    ОС - Windows XP SP2.      CA type -  Enterprise root CA

    IT
    28 января 2009 г. 7:39
  • Я имел ввиду полное название ОС, на котором установлен CA
    28 января 2009 г. 7:52
    Отвечающий
  • Microsoft Windows Server 2003 

    Enterprise Edition

    Service Pack 1


    IT
    28 января 2009 г. 8:03
  • В "неудачных запросах", в оснастке CA - что-нибудь есть?
    28 января 2009 г. 8:46
    Отвечающий
  • Если имеете ввиду в Failed Request то ничего нет. 
    IT
    28 января 2009 г. 12:03
  • Добавлю информации после серии иследований.

    Удаление с машины Symantec Antivirus  не дало никаких положительных результатов. По результам gpresult  Default Domain Policy применяется ко всем компам. НО! в разделе (gpedit.msc)  Политики "ЛОкальный компьютер" - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политики открытого ключа, когда в "Параметрах автоматической подачи заявок" выбираю "Обновлять сертификаты на основе шаблонов сертификатов" то автоматическая заявка вызывается. Поэтому складывая факты получается, что политика Default Domain Policy не применяется (Хотя пишет что применяется)

    Может у кого нить еще есть какие мысли!!


    IT
    30 января 2009 г. 8:32