Здравствуйте.

У меня возникла проблема с получением сертификата от СЦ и установкой его на машину.

Ситуация следующая:
Есть 2 СЦ – корневой изолированный(развернут на виртуальной машине и используется только для создания корневого сертификата) и подчиненный СЦ предприятия развернутый на одном доменных контроллеров. На подчиненном СЦ предприятия в политиках установили присваивать запросам состояние ожидания до явной выдачи сертификата администратором. Оба СЦ работают, вроде бы нормально.

Возникла проблема при попытке выдать сертификат на компьютер(WinXP sp2). Получить его через web-интерфейс не получается в перечне шаблонов выдаваемых сертификатов «Компьютер» нет. Пробую через оснастку «сертификаты(локальный компьютер)». После создания запроса(через «запросить новый сертификат») в узле «Запросы заявок на сертификаты» появляется запрос, а на ЦС появляется заявка в ожидании. После выдачи сертификата по этой заявке(пр.клик по ней->выдать) ЦС не отдает его запросившему компьютеру. Экспортирую новый сертификат с ЦС в двоичном виде, переношу на запросившую машину и там импортирую в личные сертификаты. В итоге – запрос не исчезает, а в личных - появляется новый сертификат без закрытого ключа соответствующего ему(это понятно ООН по идее остался в заявке).

Подскажите, как мне правильно получить сертификат на компьютер?

при попытке выдать сертификат на компьютер »
импортирую в личные сертификаты »
Несоответствие, однако.

monkkey,


Несоответствие, однако.

Я имею в виду в узел сертификаты(локальный компьютер)\Личные\Сертификаты. Или я чего-то не понял?

в перечне шаблонов выдаваемых сертификатов «Компьютер» нет »
но есть галочка Store certificate in the local computer certificate store на странице certsrv/certrqma.asp (если формировать запрос через Create and submit a request to this CA.)

Pili,
но есть галочка Store certificate in the local computer certificate store на странице certsrv/certrqma.asp (если формировать запрос через Create and submit a request to this CA.)

Ага. Но там в шаблонах сертификата почему-то нет шаблона компьютера(и всех производных от него).

AlxCruel, на изолированном ЦС не используюся шаблоны сертификатов, на ЦС в AD шаблонами управлять через оснастки Шаблоны сертификатов и AD Site and Services-Sevices-Public Key Services-Certificate Templates

Pili,

AlxCruel, на изолированном ЦС не используюся шаблоны сертификатов,

Ага, они мне там и не нужны. Корневой изолированый ЦС у меня работает нормально. У меня проблемы именно с получением сертификата от подчиненного ЦС в AD.

на ЦС в AD шаблонами управлять через оснастки Шаблоны сертификатов и AD Site and Services-Sevices-Public Key Services-Certificate Templates

Я туда лазил, шаблон "компьютер" в оснаcтке центр сертификатов есть. Через оснастку Шаблоны сертификатов сделал на основе шаблона "компьютер" свой - "Компьютер wdk" c большим сроком действия. Когда выдаю сертификат на компьютер через оснастку сертификаты они оба доступны, но через web интерфейс-то выдается сертификат только на пользователя :(.

Как правильно получить сертификат именно для рабочей станции?

На вкладке Request Handling шаблон привяжите к CSP и дайте права в Security

Pili,


На вкладке Request Handling шаблон привяжите к CSP и дайте права в Security


Если можно немного подробнее, честно говоря не соображу, что нужно сделать:(.

Шаблон уже привязан к CSP(он его наследует от родительского шаблона "компьютер")

Права следующие:
Администраторы домена - чтение, запись, заявка;
Компьютеры домена - заявка;
Прошедшие проверку - чтение;

Но сертификат как не осоциируется с заявкой на него:(.

идете в AD Site and Services-Sevices-Public Key Services-Certificate Templates - выбираете нужный шаблон -пр. кн. мыши properies - Request Handling - 2-я вкладка, ставите галки на CSP которые будут исп-ся с этим шаблоном, на вкладке Security той группе, которая будет подавать запросы ставите read и enroll (обычно это гр. Прошедшие проверку), на веб сервере ЦС авторизация пользователей из домена у вас должна быть настроена.

Pili,

идете в AD Site and Services-Sevices-Public Key Services-Certificate Templates - выбираете нужный шаблон -пр. кн. мыши properies - Request Handling - 2-я вкладка, ставите галки на CSP которые будут исп-ся с этим шаблоном, на вкладке Security той группе, которая будет подавать запросы ставите read и enroll (обычно это гр. Прошедшие проверку), на веб сервере ЦС авторизация пользователей из домена у вас должна быть настроена.

Поправил CSP, он действительно левый какой-то стоял:(. Безопасность тоже поправил, но что-то все по прежнему. А каков сам механизм получения сертификата для компьютера, может я что-то упускаю при запросе?

Подавать заявку поидее должен компьюр, насколько я понимаю из под учетки system, а к web-интерфейсу я имею доступ только как пользователь. Или я не прав?

AlxCruel, вот только что через оснастку сертификаты (local computer) проверил-получил сертификат на компьютер, всё прошло нормально. Имя шаблона - Machine. А на ЦС права смотрели для прошедших проверку? Попробуйте поставить автоматическую выдачу сертификатов по запросу и получить через оснастку.
Почему не хватает пользовательского сертификата, размещенного (скопированного) в хранилище local computer? Использование ключа то же: Digital Signature, Key Encipherment (a0), OID все равно тот же: Client Authentication (1.3.6.1.5.5.7.3.2) и только добавляется Server Authentication (1.3.6.1.5.5.7.3.1), алгоритм sha1RSA (CSP Microsoft RSA SChannel Cryptographic Provider), для шаблона User, кроме 1.3.6.1.5.5.7.3.2 ещё добавляются OID:Encrypting File System (1.3.6.1.4.1.311.10.3.4), Secure Email (1.3.6.1.5.5.7.3.4)
Почитайте здесь Запрос сертификатов компьютера для проверки подлинности сервера (http://technet2.microsoft.com/WindowsServer/ru/Library/f9871e14-e923-47d3-a7ff-0c1a6cfc1f4d1049.mspx)
у вас там будет то же самое, только для проверки подлинности компьютера
и здесь
Создание автоматического запроса сертификата для компьютеров в в объекте групповой политики (http://technet2.microsoft.com/WindowsServer/ru/Library/9699f873-7ddd-4805-9953-a2d62e95e4d61049.mspx)
Автоматическая подача заявок на сертификаты в ОС Windows XP (http://www.oszone.net/3964/Certificate_Autoenrollment)
Запрос сертификата для компьютера не в домене - TechNet Russia (http://forums.microsoft.com/TechNet-RU/ShowPost.aspx?PostID=2363249&SiteID=40)
Sysadmin's Union - Разворачивание цепочки центров сертификации на ... (http://sysadmin.su/index.php?option=com_content&task=view&id=2166&Itemid=81)

Доброго всем времени суток! Есть задача - хочу поднять в сети Центр Сертификации на Win2003. В сети (домен) уже есть Центр Сертификации Win2000. Как лучше поступить - похерить 2000-ый и поставить на 2003? Или можно иметь в сети 2 независимых ЦС? Или лучше сделать новый 2003 подчиненным 2000-му? Насчет последнего - сервак с 2000-м ЦС после модернизации домена до 2003 будет выведен.

lumoder, 1-ый способ :), т.к. сервак с 2000-м ЦС после модернизации домена до 2003 будет выведен. »
Хотя если ставить поверх, всё должно работать. Если хотите, можете забэкапить ЦС от Win2000 с сохранением сертификата от ЦС win2000 и потом восстановить его на Win2003 (при установке использовать существующий сертификат), можно по этой (http://cryptopro.ru/cryptopro/forum/view.asp?q=4394) схеме, на криптопро не обращать внимания (технология та же)

А если просто поднять второй ЦС? Они не поругаются между собой? И еще вопрос: кем должен быть заверен сертификат моего ЦС?

поднять второй ЦС »
Второго корневого ЦС в домене не бывает, можете 2-ой сделать подчиненным.
кем должен быть заверен сертификат моего ЦС »
Никем, сертификат корневого ЦС - самоподписанный.

Проблема в том, что сервер, являющийся корневым CA сейчас скоро будет убит и надо его чем-то заменить. Как тут быть? К чему приведет удаление корневог CA сейчас?

Уважаемые форумчане, так кто-нибудь ответит? К чему приведет удаление корневого CA?

К чему приведет удаление корневого CA? »
Удаление корневого ЦА приведет к тому, что ты не сможешь проверять подлинность уже выданных сертификатов + не сможешь выдавать новые.

Хорошо. Тогда как быть со старым CA? Сервер, на котором он стоит, планируется вывести из использования. Возможно после удаления корневого CA повысить уровень бывшего подчиненного?