none
ошибка аутентификации с помощью смарт-карты RRS feed

  • Вопрос

  • Добрый день, возникла следующая проблема.

    Windows 2003 standart  R2 server x64 rus домен на нем, устанавливаю центр сертификации, настраиваю его как корневой на предприятии. Все как бы нормально, потом захожу на него чтобы выписать себе сертификат пользователя для входа со смарт-картой для последующей записи его на rutoken. http://server/certsrv - расширенный запрос сертификата -запрос сертификата для смарт карты от имени другого пользователя все выбираю и генерирую,  все происходит без ошибок сертификат записывается. но при аутентификации с помощью него выдает такое сообщение: Статус отзыва сертификата контроллера домена используемого для проверки смарт карты не определен.

    за доп информацией посмотрите журнал windows, а в нем в свою очередь написано: Клиенту не удалось проверить сертификат контроллера домена для server.ru. Процессом проверки сертификата была возвращена следующая ошибка: Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия.

    это для windows 7 в Xp выдает немного другое сообщение но смысл тот же.

    Может быть кто-нибудь с этим сталкивался, подскажите пожалуйста  ?

    16 августа 2011 г. 14:02

Ответы

  • По всему, это сертификат корневого CA, а не контроллера. Получил ли контроллер сертификат одного из шаблонов: Domain Controller, Domain Controller Authentication или Kerberos Authentication?


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA
    • Предложено в качестве ответа Vadims PodansMVP 17 августа 2011 г. 14:32
    • Помечено в качестве ответа mythical44 18 августа 2011 г. 5:56
    17 августа 2011 г. 13:42
    Отвечающий

Все ответы

  • Рабочие станции доверяют указанному центру сертификации?

    Контроллер получил свой сертификат Контроллера от этого же центра?

    Является ли контроллер членом группы Cert Publishers?

    Является ли группа Domain Controllers членом группы CERTSRV_DCOM_ACCESS?


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA
    16 августа 2011 г. 16:03
    Отвечающий
  • Да на все рабочие станции сертификат распространился в контейнер доверительные центры сертификации.

    Главный контроллер домена он же центр сертификации входит в группу "Издатели сертификатов".

    Группа контроллеры домена членом CERTSRV_DCOM_ACCESS не являлась, но добавление ее туда не помогло, тоесть ничего не менялось :(

    17 августа 2011 г. 6:34
  • 1. убедитесь ещё раз, что в в контейнере Trusted Root CAs установлен именно тот самый корневой сертификат того самого CA.

    2. экспортируйте логонный сертификат в файл file.cer (см. руководство к токену) и выполните команду certutil -verify -urlfetch file.cer , там посмотрим, что скажет.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA
    17 августа 2011 г. 9:02
    Отвечающий
  • Поставщик:
        CN=Informservice ltd
        DC=inform
        DC=kmtn
        DC=ru
    Субъект:
        CN=Андрей В. Канарейкин
        OU=Users
        OU=Managers
        OU=Firma
        DC=inform
        DC=kmtn
        DC=ru
    Серийный номер сертификата: 7b24eed8000000000017

    dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
    dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
    ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
    HCCE_LOCAL_MACHINE
    CERT_CHAIN_POLICY_BASE
    -------- CERT_CHAIN_CONTEXT --------
    ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    ChainContext.dwRevocationFreshnessTime: 1 Days, 32 Seconds

    SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    SimpleChain.dwRevocationFreshnessTime: 1 Days, 32 Seconds

    CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=Informservice ltd, DC=inform, DC=kmtn, DC=ru
      NotBefore: 16.08.2011 12:45
      NotAfter: 15.08.2012 12:45
      Subject: CN=Андрей В. Канарейкин, OU=Users, OU=Managers, OU=Firma, DC=
    DC=kmtn, DC=ru
      Serial: 7b24eed8000000000017
      SubjectAltName: Другое имя:Имя участника=mythical@inform.kmtn.ru
      Template: SmartcardLogon
      72 e8 1c 9a 1e aa cd 97 7f 57 98 1e 08 2e f0 cf 6c e4 c9 16
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Проверено "Сертификат (0)" Время: 0
        [0.0] ldap:///CN=Informservice%20ltd,CN=AIA,CN=Public%20Key%20Servic
    rvices,CN=Configuration,DC=inform,DC=kmtn,DC=ru?cACertificate?base?objec
    ertificationAuthority

      Проверено "Сертификат (0)" Время: 1
        [1.0] http://server1.inform.kmtn.ru/CertEnroll/server1.inform.kmtn.r
    service%20ltd.crt

      ----------------  Сертификат CDP  ----------------
      Проверено "Базовый CRL (1f)" Время: 0
        [0.0] ldap:///CN=Informservice%20ltd,CN=server1,CN=CDP,CN=Public%20K
    vices,CN=Services,CN=Configuration,DC=inform,DC=kmtn,DC=ru?certificateRe
    List?base?objectClass=cRLDistributionPoint

      Проверено "Разностный CRL (1f)" Время: 0
        [0.0.0] ldap:///CN=Informservice%20ltd,CN=server1,CN=CDP,CN=Public%2
    ervices,CN=Services,CN=Configuration,DC=inform,DC=kmtn,DC=ru?deltaRevoca
    ?base?objectClass=cRLDistributionPoint

      Проверено "Разностный CRL (1f)" Время: 0
        [0.0.1] http://server1.inform.kmtn.ru/CertEnroll/Informservice%20ltd

      Проверено "Базовый CRL (1f)" Время: 0
        [1.0] http://server1.inform.kmtn.ru/CertEnroll/Informservice%20ltd.c

      Проверено "Разностный CRL (1f)" Время: 0
        [1.0.0] ldap:///CN=Informservice%20ltd,CN=server1,CN=CDP,CN=Public%2
    ervices,CN=Services,CN=Configuration,DC=inform,DC=kmtn,DC=ru?deltaRevoca
    ?base?objectClass=cRLDistributionPoint

      Проверено "Разностный CRL (1f)" Время: 0
        [1.0.1] http://server1.inform.kmtn.ru/CertEnroll/Informservice%20ltd

      ----------------  Базовый CRL CDP  ----------------
      ОК "Разностный CRL (20)" Время: 0
        [0.0] ldap:///CN=Informservice%20ltd,CN=server1,CN=CDP,CN=Public%20K
    vices,CN=Services,CN=Configuration,DC=inform,DC=kmtn,DC=ru?deltaRevocati
    ase?objectClass=cRLDistributionPoint

      ОК "Разностный CRL (20)" Время: 0
        [1.0] http://server1.inform.kmtn.ru/CertEnroll/Informservice%20ltd+.

      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------
        CRL 1f:
        Issuer: CN=Informservice ltd, DC=inform, DC=kmtn, DC=ru
        58 c0 d0 4a 7b d3 52 62 60 5a f7 47 e7 14 57 54 84 c0 b1 08
        Delta CRL 20:
        Issuer: CN=Informservice ltd, DC=inform, DC=kmtn, DC=ru
        7b 37 96 5d a2 35 24 21 3a d8 6f c3 1f a5 33 28 46 d5 15 c1
      Application[0] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
      Application[1] = 1.3.6.1.4.1.311.20.2.2 Вход со смарт-картой

    CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
      Issuer: CN=Informservice ltd, DC=inform, DC=kmtn, DC=ru
      NotBefore: 21.07.2011 9:46
      NotAfter: 21.07.2016 9:55
      Subject: CN=Informservice ltd, DC=inform, DC=kmtn, DC=ru
      Serial: 21eb4572b9aaec924c5a8debc6bacb40
      Template: CA
      bc 81 ad dc ef ca f7 d9 ae 83 23 1c 25 94 61 ec 29 81 75 be
      Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
      Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  Сертификат CDP  ----------------
      Проверено "Базовый CRL (1f)" Время: 0
        [0.0] ldap:///CN=Informservice%20ltd,CN=server1,CN=CDP,CN=Public%20K
    vices,CN=Services,CN=Configuration,DC=inform,DC=kmtn,DC=ru?certificateRe
    List?base?objectClass=cRLDistributionPoint

      Проверено "Разностный CRL (1f)" Время: 0
        [0.0.0] ldap:///CN=Informservice%20ltd,CN=server1,CN=CDP,CN=Public%2
    ervices,CN=Services,CN=Configuration,DC=inform,DC=kmtn,DC=ru?deltaRevoca
    ?base?objectClass=cRLDistributionPoint

      Проверено "Разностный CRL (1f)" Время: 0
        [0.0.1] http://server1.inform.kmtn.ru/CertEnroll/Informservice%20ltd

      Проверено "Базовый CRL (1f)" Время: 0
        [1.0] http://server1.inform.kmtn.ru/CertEnroll/Informservice%20ltd.c

      Проверено "Разностный CRL (1f)" Время: 0
        [1.0.0] ldap:///CN=Informservice%20ltd,CN=server1,CN=CDP,CN=Public%2
    ervices,CN=Services,CN=Configuration,DC=inform,DC=kmtn,DC=ru?deltaRevoca
    ?base?objectClass=cRLDistributionPoint

      Проверено "Разностный CRL (1f)" Время: 0
        [1.0.1] http://server1.inform.kmtn.ru/CertEnroll/Informservice%20ltd

      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------

    Exclude leaf cert:
      ab 56 4e db 49 92 fc 3b f1 5d f1 2d a4 03 8e 49 28 a0 c8 2a
    Full chain:
      77 6d 47 2d bd b4 84 39 ef 96 5b 02 1c 28 54 01 ad ef 99 3f
    ------------------------------------
    Проверенные политики выдачи: Нет
    Проверенные политики применения:
        1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
        1.3.6.1.4.1.311.20.2.2 Вход со смарт-картой
    Проверка отзыва сертификата выполнена
    CertUtil: -verify - команда успешно выполнена.
    17 августа 2011 г. 9:29
  • okay, давайте экспортируем сертификат контроллера домена и ту же проверку для него.

    Вообще, одна проблемная машина или все?


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA
    17 августа 2011 г. 10:59
    Отвечающий
  • Поставщик:
        CN=Informservice ltd
        DC=inform
        DC=kmtn
        DC=ru
    Субъект:
        CN=Informservice ltd
        DC=inform
        DC=kmtn
        DC=ru
    Серийный номер сертификата: 21eb4572b9aaec924c5a8debc6bacb40

    dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
    dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
    ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
    HCCE_LOCAL_MACHINE
    CERT_CHAIN_POLICY_BASE
    -------- CERT_CHAIN_CONTEXT --------
    ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)

    SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)

    CertContext[0][0]: dwInfoStatus=10c dwErrorStatus=0
      Issuer: CN=Informservice ltd, DC=inform, DC=kmtn, DC=ru
      NotBefore: 21.07.2011 9:46
      NotAfter: 21.07.2016 9:55
      Subject: CN=Informservice ltd, DC=inform, DC=kmtn, DC=ru
      Serial: 21eb4572b9aaec924c5a8debc6bacb40
      Template: CA
      bc 81 ad dc ef ca f7 d9 ae 83 23 1c 25 94 61 ec 29 81 75 be
      Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
      Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  Сертификат CDP  ----------------
      Проверено "Базовый CRL (1f)" Время: 0
        [0.0] ldap:///CN=Informservice%20ltd,CN=server1,CN=CDP,CN=Public%20Key%20Ser
    vices,CN=Services,CN=Configuration,DC=inform,DC=kmtn,DC=ru?certificateRevocation
    List?base?objectClass=cRLDistributionPoint

      Проверено "Разностный CRL (1f)" Время: 0
        [0.0.0] ldap:///CN=Informservice%20ltd,CN=server1,CN=CDP,CN=Public%20Key%20S
    ervices,CN=Services,CN=Configuration,DC=inform,DC=kmtn,DC=ru?deltaRevocationList
    ?base?objectClass=cRLDistributionPoint

      Проверено "Разностный CRL (1f)" Время: 0
        [0.0.1] http://server1.inform.kmtn.ru/CertEnroll/Informservice%20ltd+.crl

      Проверено "Базовый CRL (1f)" Время: 0
        [1.0] http://server1.inform.kmtn.ru/CertEnroll/Informservice%20ltd.crl

      Проверено "Разностный CRL (1f)" Время: 0
        [1.0.0] ldap:///CN=Informservice%20ltd,CN=server1,CN=CDP,CN=Public%20Key%20S
    ervices,CN=Services,CN=Configuration,DC=inform,DC=kmtn,DC=ru?deltaRevocationList
    ?base?objectClass=cRLDistributionPoint

      Проверено "Разностный CRL (1f)" Время: 0
        [1.0.1] http://server1.inform.kmtn.ru/CertEnroll/Informservice%20ltd+.crl

      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------

    Exclude leaf cert:
      da 39 a3 ee 5e 6b 4b 0d 32 55 bf ef 95 60 18 90 af d8 07 09
    Full chain:
      bc 81 ad dc ef ca f7 d9 ae 83 23 1c 25 94 61 ec 29 81 75 be
    ------------------------------------
    Проверенные политики выдачи: Все
    Проверенные политики применения: Все
    Сертификат является сертификатом ЦС
    Проверка отзыва сертификата выполнена
    CertUtil: -verify - команда успешно выполнена.
    17 августа 2011 г. 12:15
  • По всему, это сертификат корневого CA, а не контроллера. Получил ли контроллер сертификат одного из шаблонов: Domain Controller, Domain Controller Authentication или Kerberos Authentication?


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA
    • Предложено в качестве ответа Vadims PodansMVP 17 августа 2011 г. 14:32
    • Помечено в качестве ответа mythical44 18 августа 2011 г. 5:56
    17 августа 2011 г. 13:42
    Отвечающий
  • нет таких сертификатов нету, на сервере в личных хранится только корневой? я запросил сертификат проверки подлинности контроллера домена и все заработало, спасибо за помощь! Только вот странно почему это все не произошло автоматически ?
    18 августа 2011 г. 5:16
  • Как одна из версий, контроллер ещё не перезагружался с момента постановки службы CA.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA
    18 августа 2011 г. 6:51
    Отвечающий
  • да вы правы не перегружался, спасибо большое за помощь!
    18 августа 2011 г. 7:39