Добрый день.

Помогите, пожалуйста чайнику разобраться с Центром Сертификации в домене. Дело в том, что на одном из первых КД когда-то был установлен и поднят этот ЦС (Certification Authority), и в его консоли хранятся сертификаты для КД на 2 года (которые, кстати, уже скоро истекают). И вот недавно в домен был добавлен новый сервер, КД, у него тоже сертификат прописался в оснастке тоже на 2 года. Теперь проблема в том, что этот сервер, на котором установлен ЦС, удаляется из домена, соответственно и ЦС в домене тоже как такового не будет.

Теперь два глобальных вопроса:
1) Нужно ли поднимать этот ЦС на новом КД (или другом сервере) или это необязательная оснастка для нормального функционирования домена?
2) Где можно подробнее (но без лишней "воды") прочитать - для чего нужен Центр Сертификации вообще, какова его главная функция в домене?

А то я с какой стороны не подхожу - никак не въеду - ну что это за ЦС? CA? Нужно? Зачем? Как?

В инете юзал поиск, никакой статьи для "ламера" не нашел Желательно на русском. Спасибо!

Службы сертификации Windows (http://www.oszone.net/4022/Certificate_Services)

monkkey, благодарю. ушел разбираться. Надеюсь, там найдутся ответы на все мои вопросы :closed-to

как правильно перенести центр сертификации н другой DC? предстоит смена железа. хел ми :(

Не создавайте себе лишних проблем. Вам просто нужно полностью сервер перенести на новую железяку - я это делал при помощи acronis. Поищите поиском на форуме тут не раз обсуждалась тема переноса сервера с одного железа на другое.

это не выход, у старого сервера сыпется винт, и как выяснилось это простой ком HP DX 2200 :(

это не выход, у старого сервера сыпется винт, и как выяснилось это простой ком HP DX 2200 » не вижу в этом ни какой проблемы. Я вам не предлагаю старый винт воткнуть в другой сервер. Вы просто переносите данные с одного винта на другой. При этом bad blockи не переносятся.

Но если вы все таки хотите сделать по своему придется извращаться http://support.microsoft.com/kb/298138.
Тоже делается через архивацию и восстановление.
Только не забудте потом переименовать сервера. Чтобы новый сервер был назван именем старого.

а нет вариантов поменять имя хоста :) очень нужно, статейку читал

После того, как вы переименуете сервер. Все сертификаты выданные им будут не действительны. Так что никак.
Если это капец как критично, то придется поднимать параллельный СА выдавать новые сертификаты, сертификаты выданные старым СА отзывать. И после этого сносить с него СА.

Как говорят - ты попал :).

Сам такого не делал. Но знаю людей, которым пришлось прибегнуть к таким мерам.

спасибо большое
буду пробовать на выходных шаманит :)

Коллеги. Прошу помощи.
Борюсь с проблемой:
Automatic certificate enrollment for local system failed to enroll for one "бла-бла-бла" certificate (0x80070005). Access is denied.

Перечитал все доступные материалы по этой ошибке. При ручном запросе вылезает это:

The certificate request failed because of one of the following conditions:
- the certificate request was submitted to a Certification Authority (CA) that is not started.
- You do not have the permissions to request certificates from the available CAs.

По этой ошибке тоже все перечитал и испробовал все рекомендации.
Остро необходимо получить сертификаты для контроллеров домена. Обычными путями это сделать не удается.
Домен на 2003 ЕЕ, машины с 2000 виндой через групповые политики преспокойно получают сертификаты автоматически. Машины с 2003 и ХП не могут ни как. Есть корневой центр и подчиненный оба центра могут выдать самим себе любые сертификаты, а так же любым желающим сертификаты на пользовательских шаблонах, на машинных - нет.
Есть версия, что собака зарыта глубоко в недрах АД, хотя необходимые права и разрешения на объектах имеющих отношение к сертификации проверены и настроены.
В общем вопрос: Как можно вручную создать запрос сертификата с тем, чтобы потом его выписать на ЦС и перенести на требуемую машину?
При обращении на веб страницу ЦС в списке шаблонов нужные отсутствуют. Если использовать мастер запроса сертификата на машине, то он сразу ломится на СЦ, можно ли экспортировать созданный им запрос в файл?

У меня такая проблема

Я сначала поставил на "win 2003 enterprise" центр сертификации (stand-alone root CA) и отключил от сети(изолировал) (комп в не домены), после чего я на другом компьютере хотель установить win 2003 enterprise изолированный подчинённый центр сертификации(stand-alone subordinate CA) , который тоже в не домены.
Запрос сохранил на файл(*.req). Этот файл я импортировал на корневой центр сертификации, и затем, на основе импортированного запроса выдал сертификат. На корневой CA я публиковал список отозванных сертификатов (*.crl). После чего взял от корневого центра, сертификат содержащий открытый ключ(root.cer), список отозванных сертификатов (rootCA.crl) и файл, содержащий сертификат, выданный подчинённому центру сертификации на основании запроса.
"Эти три файла мы переносим с корневого центра сертификации на подчинённый. Сертификат корневого центра сертификации импортируем на компьютер с установленным подчинённым центром сертификации (для этого достаточно просто открыть файл сертификата и нажать кнопку «установить сертификат»). Файл, содержащий список отозванных сертификатов необходимо положить в папку %system root%\system32\certsrv\certenroll (это тот путь, который мы указывали, когда меняли свойства корневого центра сертификации). А так же необходимо импортировать в реестр, с помощью остнастки - сертификаты. Файл, содержащий сертификат подчинённого центра сертификации необходимо импортировать в подчинённый центр сертификации:"

После всех этих действий когда хачу запускать подчинённый центр сертификации выдает такое сообщение

The revocation function was unable to check revocation because the revocation server was offline 0*80092013(2146885613)

because the revocation server was offline »