none
Microsoft 憑證服務問題 RRS feed

  • 問題

  • Dear 先進

    小弟的系統平台Windows 2003,有啟動憑證服務,並且將憑證整合到智慧卡,目前遇到了一個問題,就是當智慧卡的憑証過期後,要重新申請憑証時,無法從憑證網站下載新的憑證。小弟在系統本機登入憑證網站的話,就可以看到「從智慧卡憑證註冊站,替其他使用者要求 一個智慧卡憑證。 」這個選項,可是如果從Internet連回到憑證網站的話,就看不到此一選項,請問應該從何調整呢?

    2010年1月20日 上午 04:01

解答

  • 你的Server 2003應該有安裝這隻更新 - KB922706
    此更新是將Server 2003的申請憑證的網頁更新到Server 2008的版本
    Server 2008的版本已經不支援透過網頁進行 Enroll on behalf of 的操作(就是不見的那個選項)

    安裝此更新的影響可以在上面KB內容裡面看到

    目前的的解決方法有下面幾種

    1.找一台Vista電腦,打開MMC - 載入憑證的snap-in(選擇"我的使用者帳戶") - 對"個人"點右鍵 - "所有工作" - "進階操作" - "代表下列人員/組織註冊"

    2.移除此更新

    3.另外找一台Server 2003,並透過新增移除Windows元件 - 新增憑證服務裡面的"憑證授權單位網頁註冊支援" (參考此篇文章 - 設定憑證授權單位網頁註冊支援)
    然後讓Vista之前的Client端連到此台Server上面進行Smart Card的憑證申請動作



    至於"無法下載及安裝適當版本的ActiveX控制項,您可能沒有足夠的權限。請連絡您的系統管理員以取得協助"這個問題
    你可能先將網站加入到信任網站後..把他的安全性調至最低("網際網路選項"-"安全性"-"信任區域"-"自訂層級"-調成"低"後點"重設"-"確定")..應該就可以正常

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    • 已提議為解答 Vincent Lin 2010年1月22日 上午 07:18
    • 已標示為解答 Vincent Lin 2010年1月28日 上午 07:25
    2010年1月22日 上午 07:11

所有回覆

  • dear 先進

    我有試著用http://主機ip/certsrv/certsces.asp的方式進入智慧卡憑証註冊站,可是在安裝ActiveX元件時,會發生「無法下載及安裝適當版本的activex,或您的權限不足」訊息,可是我已經是Administrator權限了,想請教一下有那裡是需要調整的

    2010年1月20日 上午 06:46
  • 請嘗試用IE將主機加到安全的網站試試.
    $亮晶晶的小欣$ Gary Yuan. http://yuanwenshin.spaces.live.com
    2010年1月20日 上午 07:41
  • 1.你的CA是 Enterprise的還是StandAlone的?
    2.CA架構如何? 有幾台?
    3.檢查看看CA上面的事件檢視器..看看是否有錯誤訊息(或是把所有事件紀錄點右鍵 - 另存事件,然後壓縮上傳到網路上給我們看看 - 如 http://www.badongo.com)

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2010年1月21日 上午 09:02
  • 有試過了,可是一樣無效

    謝謝你的回覆^^

    2010年1月22日 上午 06:17
  • hi, Vincent

    1.你的CA是 Enterprise的還是StandAlone的?
    ans:是Enterprise

    2.CA架構如何? 有幾台?
    ans:只有一台,這台server包含AD, DNS, IIS, CA功能

    3.檢查看看CA上面的事件檢視器..看看是否有錯誤訊息(或是把所有事件紀錄點右鍵 - 另存事件,然後壓縮上傳到網路上給我們看看
    ans:
    我有看到下列的訊息
    「錯誤: 因為下列錯誤,應用程式集區 'DefaultAppPool' 的範本持續快取初始化失敗: 無法建立應用程式集區的磁碟快取子目錄。資料可能有其他錯誤碼。
    請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。」

    另外,當我在下載ActiveX控制項時,會出現「無法下載及安裝適當版本的ActiveX控制項,您可能沒有足夠的權限。請連絡您的系統管理員以取得協助」訊息

    我有試著去找其他資料,微軟有提供Article ID: 922706 這份文件,裡面有說明如果是Vista系統的話,會有這類的問題,可是我有試過XP系統,也是得到同樣的結果,所以我一直在想是否真的要先安裝這篇文件所提供的patch.

    謝謝您的回覆^^

    2010年1月22日 上午 06:29
  • 補充一下,我在IIS Log裡有看到下列訊息

    W3SVC1 192.xxx.xxx.xxx GET /CertControl/w2k/scrdenrl.dll - 80 - 211.xxx.xxx.xxx Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+6.0;+Trident/4.0;+SLCC1;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.30618;+.NET+CLR+3.5.30729) 401 2 2148074254

    2010年1月22日 上午 06:58
  • 你的Server 2003應該有安裝這隻更新 - KB922706
    此更新是將Server 2003的申請憑證的網頁更新到Server 2008的版本
    Server 2008的版本已經不支援透過網頁進行 Enroll on behalf of 的操作(就是不見的那個選項)

    安裝此更新的影響可以在上面KB內容裡面看到

    目前的的解決方法有下面幾種

    1.找一台Vista電腦,打開MMC - 載入憑證的snap-in(選擇"我的使用者帳戶") - 對"個人"點右鍵 - "所有工作" - "進階操作" - "代表下列人員/組織註冊"

    2.移除此更新

    3.另外找一台Server 2003,並透過新增移除Windows元件 - 新增憑證服務裡面的"憑證授權單位網頁註冊支援" (參考此篇文章 - 設定憑證授權單位網頁註冊支援)
    然後讓Vista之前的Client端連到此台Server上面進行Smart Card的憑證申請動作



    至於"無法下載及安裝適當版本的ActiveX控制項,您可能沒有足夠的權限。請連絡您的系統管理員以取得協助"這個問題
    你可能先將網站加入到信任網站後..把他的安全性調至最低("網際網路選項"-"安全性"-"信任區域"-"自訂層級"-調成"低"後點"重設"-"確定")..應該就可以正常

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    • 已提議為解答 Vincent Lin 2010年1月22日 上午 07:18
    • 已標示為解答 Vincent Lin 2010年1月28日 上午 07:25
    2010年1月22日 上午 07:11
  • Dear Vincent

    感謝您的回覆

    依照您的指示,我檢查了我的Server 2003,並沒有安裝KB922706這隻更新程式,不過倒是有找到KB958644這隻更新程式,是否這隻更新程式就已有包含KB922706了?

    另外,依照您所說的方式,我有幾點地方看不太懂,再麻煩您指導一下

    1.找一台Vista電腦,打開MMC - 載入憑證的snap-in(選擇"我的使用者帳戶") - 對"個人"點右鍵 - "所有工作" - "進階操作" - "代表下列人員/組織註冊"
    2.移除此更新

    上述的處理方式是針對Vista的部份嗎?那要如何載入憑證的snap-in?


    3.另外找一台Server 2003,並透過新增移除Windows元件 - 新增憑證服務裡面的"憑證授權單位網頁註冊支援" (參考此篇文章 - 設定憑證授權單位網頁註冊支援)
    然後讓Vista之前的Client端連到此台Server上面進行Smart Card的憑證申請動作

    因為我只有一台Server2003,且此設備已在線上運作,我可能無法將CA移除再重新安裝,是否有其他方式呢?

    2010年1月25日 上午 10:03
  • 1.
    麻煩你提供一下 http://server/certsrv 的截圖畫面給我看看,可以上傳到網路空間,如http://www.badongo.com
    透過畫面就可以知道是否有安裝該更新了

    2.方法如下

      a.在Vista上執行 mmc - 點選檔案 - 新增/移除嵌入式管理單元 - 在左邊選擇"憑證" - 新增 - 選擇我的使用者帳戶 - 完成 - 確定
      b.對個人點右鍵 - 所有工作 - 進階操作 - 代表下列人員/組織註冊

    3.如果你只有一台Server 2003的話..那就不要考慮此做法

    4.Server 2003版本是 Standard or Enterprise?

    Thanks
    微軟技術支援網站
    2010年1月25日 上午 10:14
  • Dear Vincent

    感謝您的回覆,關於畫面方面請見下列連結
    http://www.badongo.com/pic/8549107

    因為我只有一台Server 2003,所以就不須進行Vista的處理方式了,至於Server 2003版本是Enterprise

    再一次謝謝您,再麻煩您協助了。
    2010年1月28日 上午 08:01
  • 畫面看起來是Server 2003的版本 (最上面顯是"憑證服務", 2008的話會顯示成Active Directory 憑證服務)
    麻煩你提供下面兩個檔案給我

    C:\Windows\System32\certsrv\certrqad.asp
    C:\Windows\System32\certsrv\certsces.asp

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    2010年1月28日 上午 08:40
  • dear Vincent

    是喔,那再麻煩您確認了,上傳的網址是http://www.badongo.com/file/20103257,密碼是certsrv

    再次感謝您的協助:)


    另外,因為我不太會使用論壇功能,所以有忽略的地方再麻煩您多多指導,感謝您。
    PS:下次我會記得回報^^"
    2010年1月30日 上午 03:56
  • 下面那句話是我的簽名檔..不是針對你喔..別誤會:)

    另外目前人在大陸..禮拜二才能幫你確認..不好意思..@@

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    2010年1月31日 下午 04:00
  • 看了一下你提供的檔案..看起來是正常的

    麻煩你做下面動作...我認為問題原因應該是CA安裝的版本為StandAlone的才會這樣
    因為該網頁顯示是會去檢查一個檔案..再來決定是否要顯示該選項

    1.
    用記事本打開 C:\Windows\System32\certsrv\certdat.inc
    找一行 sServerType , 把整行貼上來給我看看

    如Enterprise CA會是寫成 sServerType="Enterprise" 'vs StandAlone

    2.
    檢查下面機碼
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\{Your CA name}\CAType , 看CAType的值是多少

    CAType = 0 (This means it is installed as Enterprise Root CA)
    CAType = 1 (This means it is installed as Enterprise Subordinate CA)
    CAType = 3 (This means it is installed as Stand Alone CA)
    CAType = 4 (This means it is installed as Stand Alone Subordinate CA)

    Thanks
    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    2010年2月2日 上午 03:26
  • Dear Vincent

    1、在sServerType的部份是sServerType="Enterprise" 'vs StandAlone
    2、機碼部份的話,在CAType是0

    還有什麻是我需要提供給您分析的嗎?十分感謝您的協助

    PS:凌晨三點回覆=   =",先進身體要顧.....
    2010年2月3日 下午 03:53
  • (哈..沒有啦..那個時間似乎有點問題..凌晨三點多早就不知道睡到哪去了)

    上面兩個部分看起來是正常的...

    可以的話

    1.把 C:\Windows\System32\certsrv 整個資料夾壓縮,然後傳到網路上給我看看
    用在我的環境上測試看看是否會有相同問題

    2.將此機碼匯出 - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\{Your CA name}\

    然後再把兩個檔案傳給我看看

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    2010年2月5日 上午 02:22
  • 另外,幫忙測試看看其它台電腦去連 http://servername/certsrv 時,是否都不能看到該選項

    而無法顯示該選項的話是使用IE瀏覽器還是其它的瀏覽器(如Firefox)

    看是否為特定電腦沒有辦法看到該選項

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    2010年2月5日 上午 06:27
  • Dear Vincent

    我在同網段的設備可以看的到該選項,點選後會下載ActiveX,可是一樣出現「無法下載及安裝適當版本的ActiveX控制項,您可能沒有足夠的權限。請連絡您的系統管理員以取得協助」訊息

    另外,因為我目前是需要提供給在外地出差人員可以透過Internet重新下載憑証,可是只要跨Internet就看不到該選項了,而且就算用指定URL路徑的方式,也是一樣會出現無法下載及安裝適當版本的ActiveX控制項,您可能沒有足夠的權限。請連絡您的系統管理員以取得協助」訊息

    測試結果請見下列URL
    http://www.badongo.com/file/20417780

    最後,是否能提供給我您的E-mail,因為我將資料上傳後會壓縮加密

    2010年2月10日 上午 04:24
  • 如果是跨Internet才會有問題的話..網站本身應該是沒問題..可以的話幫我蒐集一下封包
    因為網頁會判斷封包裡面瀏覽器的版本..如果那方面有問題的話可能就會無法顯示

    透過Network Monitior 3.3分別在 Internet的Client端 & CA上面做封包截取 (兩邊同時蒐路連線網站時的狀況,才能判斷中間的設備是否有過濾某些東西)
    然後將封包儲存下來給我

    可以上傳到下面網站..就只有我會看到了:)   (進入後直接輸入密碼)

    https://sftasia.one.microsoft.com/choosetransfer.aspx?key=556ed802-944b-4007-9ff9-0cc466e421f4

    密碼: gH*3G]qrf89Lr@


    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    2010年2月10日 上午 05:15
  • Dear Vincent

    新年快樂

    依照您所提供的方式,我已將資料取出,並上傳到您所提供的地方,我一共上傳了三個檔案,分別是server.cap, server1.cap, client1.cap,其中server.cap這個檔案是我上傳錯了。

    關於測試方面,與您說明一下
    1、來源IP是172.16.1.33, 目的IP是10.1.1.108,來源IP有經過防火牆轉址為10.1.1.254
    2、我在測試的過程中,不管是透過認譇方式登入或匿名存取都無法看到「從智慧卡憑證註冊站,替其他使用者要求 一個智慧卡憑證。 」這個選項

    PS:在封包內容中,您會看到Status Code為401,可是我的認證是有成功的,所以我也不清楚Code 401的發生原因

    2010年2月22日 上午 06:17
  • 看了一下封包...發現一個滿奇怪的問題
    你的Client端應該是 Vista or Server 2008然後使用IE8吧

    這樣的話應該在第一個頁面時就會出現錯誤訊息才對,不會讓你可以點選申請憑證的選項
    錯誤畫面如下
    http://www.badongo.com/pic/8873896



    所以我現在的想法大概是這樣

    可能你之前有安裝過 KB922706 的更新檔案
    然後移除的時候可能有問題導致部份檔案沒有順利移除

    建議你做下面動作

       1.將 C:\windows\system32\certsrv 資料夾做備份動作

       2.安裝KB922706更新

       3.將此檔案下載後解壓縮到C:\windows 底下(會問要不要覆蓋,選擇"要") - http://www.badongo.com/file/20722569 (此檔案為Server 2003 SP2 Enterprise Root CA的憑證網頁檔案)

       4.到 C:\windows\$NtUninstallKB922706-v7$\spunist 資料夾裡面去執行 spunist.exe 做移除此更新的動作,移除時會將剛剛複製的檔案還原到certsrv資料夾底下

       5.這樣一來Vista & Server 2008連接該網站時應該會出現跟我提供的錯誤畫面一樣才對,其它XP or 2003應該可以正常出現智慧卡的選項



    還是不行的話,需要你提供下面資訊

       1.可以出現該選項的Client端系統為何? 不行的為何

       2.將CA的C:\windows\system32\certsrv資料夾壓縮後上傳給我看看

       3.在無法顯示該選項的XP上面再次錄製一下封包給我看看

    Thanks
    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    • 已提議為解答 Vincent Lin 2010年2月23日 上午 10:07
    2010年2月22日 上午 07:12
  • Dear Vincent

    正如您所言,Client端的環境是Vista+IE8,我依照您所提供的方式,在Vista的環境確實會出現您所提供的畫面。另外,在XP環境已可以出現智慧卡的選項了。可是也同樣遇到一個問題了,那就是出現「無法下載及安裝適當版本的ActiveX控制項,您可能沒有足夠的權限。請連絡您的系統管理員以取得協助」的英文訊息,請見http://www.badongo.com/pic/8887008,關於這一部份,應如何處理呢?

    最後,我想請教一下,是否能改回中文環境,因為我怕使用者看不懂=  ="

    PS:感謝您一直協助與不吝指導 ^^

    2010年2月23日 上午 03:11
  • 那張圖的錯誤訊息應該不是無法下載和安裝適當版本的ActiveX控制項
    如果是出現無法安裝ActiveX控制項的話..把網站加入到信任網站,然後將他的安全性調至最低就可以了

    而你圖片上面的錯誤訊息可以參考下面KB的動作去安裝Root CA的根憑證到信任的根憑證裡面應該就可以正常

    "No templates could be found" error message while you enroll for a smart card
    http://support.microsoft.com/kb/279781/en-us


    方法一改成 gpupdate /force 即可

    方法二是選擇 "Download a CA Certificate , Certificate Chain , or CRL" -> Download CA Certificate Chain
    對下載回來的檔案點兩下 - 展開裡面的目錄就會看到一張憑證 - 點兩下 - 安裝憑證 - 安裝完應該就正常了


    另外...由於我的虛擬機器都是英文版的...所以正在裝一台中文版的環境
    環境設置好後在把中文版的檔案給你..:)

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    • 已提議為解答 Vincent Lin 2010年2月23日 上午 10:07
    2010年2月23日 上午 06:22
  • http://www.badongo.com/file/20753832  Server 2003 Enterprise SP2 中文版的CA網頁資料

    在重新按造之前步驟做一次..還原回去就可以了
    或是你要直接覆蓋過去也是可以

    Thanks
    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    2010年2月23日 上午 07:36
  • Dear Vincent

    新年快樂啊,您所提供的方式我測試的結果還是一樣不行,一樣會出現「An unexpected fatal error has occurred: The proper version of the ActiveX control failed to download and install. You may not have sufficient permissions. Please ask your system administrator for assistance.」這一段的訊息..

    是我還有其他地方有設定錯誤嗎=  ="

    感謝您提供中文版的CA網頁資料^^

    2010年3月1日 上午 07:29
  • 你應該有把該網站加入到信任網站了
    麻煩在試試看下面設定

    打開IE - 工具 - 網際網路選項 - 安全性 - 信任網站 - 自訂等級 - 將底下的"重設為"調整為"低" - 重設

    然後再測試看看

    相關參考資料

    ActiveX Error Messages Using Certificate Enrollment Web Pages to Enroll a Smart Card in Internet Explorer
    http://support.microsoft.com/kb/330211/en-us

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    2010年3月1日 上午 07:59
  • Dear Vincent

    Sorry,最近忙過頭,一直沒回覆您,關於您所提供的方式,我會再試看看,感謝您。

    2010年3月18日 上午 07:37