none
Вопрос по центру сертификации. RRS feed

  • Общие обсуждения

  • Доброе время суток всем!

    Мне необходимо развернуть в организации PKI (инфраструктуру открытых ключей). Сделать хочеться всё по взрослому, только не получается.
    Итак, есть сервер WinSrv2003Ent который называется CA. Данный сервер не входит ни в какой домен. На нём развёрнут корневой центр сертификации (Microsoft CA). В последующем этот сервер будет убран из сети.

    Есть домен, ad.local который поддерживается единственным контроллером домена - ad1.ad.local. На этом контроллере домена развёрнут Subordinate CA(тоже Microsoft CA), подписанный корневым центром сертификации. Distribution Pint CRL и AIA корневого сервера сертификации перенаправлены на подчинённый центр сертификации. После чего CRL с корневого центра был экспортирован (опубликован) на подчинённый цент сертификации.

    Пользователю выдаём сертификат и записываем его на eToken. После чего с этим пытаемся залогинеться на рабочей станции (которая подключена к домену). Запрашивается PIN на ключ, после чего получаем ответ сообщение:
    Your credentials could not be verified.

    и не пускает.
    Хотя если посмотреть журнал событий на контроллере домена, то видно, что сервер принимает сертификат, то есть сообщение Success Audit. Сообщений об отказе аутентификации нету.

    Где копать?
    В чём косяк, подскажите плиз?

    3 декабря 2007 г. 13:32

Все ответы

  •  lepricon написано:

    Доброе время суток всем!

    Мне необходимо развернуть в организации PKI (инфраструктуру открытых ключей). Сделать хочеться всё по взрослому, только не получается.
    Итак, есть сервер WinSrv2003Ent который называется CA. Данный сервер не входит ни в какой домен. На нём развёрнут корневой центр сертификации (Microsoft CA). В последующем этот сервер будет убран из сети.

    Есть домен, ad.local который поддерживается единственным контроллером домена - ad1.ad.local. На этом контроллере домена развёрнут Subordinate CA(тоже Microsoft CA), подписанный корневым центром сертификации. Distribution Pint CRL и AIA корневого сервера сертификации перенаправлены на подчинённый центр сертификации. После чего CRL с корневого центра был экспортирован (опубликован) на подчинённый цент сертификации.

     

    А в сертификате корневого ЦС указаны CDP и AIA какие (именно в сертификате самого корневого ЦС)? Лучше покажите его.

    Если по умолчанию все, то советую убрать CDP и AIA и сгенеировать сертификат корневого ЦС по новой. Ну и соответственно выдать новый сертификат подчиненному ЦС.

    Пряняты две стратегии при создании сертификата корневого ЦС:

      1) Не публиковать CDP и AIA в сертификате корневого ЦС. Т.о. мы блокируем проверку статуса сертификата корневого ЦС. Что логично, так как доверенность сертификата корневого ЦС определяется наличием его в хранилище доверенных корневых центров сертификации компьютера.  И если сертификат корневого ЦС будет скомпрометирован то нужно будет выдать и распространить новый сертификат а не отзывать старый (CDP же мы убрали).

    2) Публиковать 8)

     

    Ну и я надеюсь вы не забыли опубликовать в AD сертификат и crl корневого ЦС?

    certutil -dspublish -f CAName.crt

    certutil -dspublish -f CACRLFile.crl

    соответственно.

     


    Пользователю выдаём сертификат и записываем его на eToken. После чего с этим пытаемся залогинеться на рабочей станции (которая подключена к домену). Запрашивается PIN на ключ, после чего получаем ответ сообщение:
    Your credentials could not be verified.

    и не пускает.
    Хотя если посмотреть журнал событий на контроллере домена, то видно, что сервер принимает сертификат, то есть сообщение Success Audit. Сообщений об отказе аутентификации нету.

    Где копать?
    В чём косяк, подскажите плиз?

     

    Т.е. основной момент скорее всего в том что не проходит проверка сертификата.

    Проверить сертификат можно так -

    certutil -verify certfile.cer

    или , еще лучше -

    certutil -verify -urlfetch certfile.cer.

    Пока не добъетесь проверки - работать нормально не будет.

     

     

     

    4 декабря 2007 г. 6:07