Los servicios de certificados muestran error: ID de evento: 5 Descripción: Los servicios de certificados no pudieron encontrar la información de registro requerida. Es posible que sea necesario reinstalar los Servicios de Certificado.
Eliminé manualmente CA del servidor siguiendo las instrucciones:http://support.microsoft.com/kb/889250-. En este servidor se encuentra Exchange con OWA y el servidor ISA 2004. Ahora, algunos clientes de un dominio tienen problemas para conectarse a Internet mediante SSL (https) porque IE solicita constantemente el nombre de usuario y la contraseña para conectarse al dominio, y el registro ISA muestra "Intento de conexión fallido".
He estado pensando en:
reinstale en el mismo servidor servicios de certificación con el mismo nombre o nombre diferente
Instale los servicios de AD Cert en otro servidor con el mismo nombre o con un nombre diferente.
¿Qué debo hacer para solucionar este problema? Estoy en un gran problema por eso, así que por favor ayuda.
Respuesta1
Bueno, estás en algún tipo de lío, eso es seguro. Primero, NO instala una CA en un servidor Exchange, DC o, de hecho, en cualquier máquina que tenga otras funciones. Eso es un recibo por el desastre. La configuración adecuada de una CA es que elija un servidor como raíz (preferiblemente unCA raíz fuera de línea) y un segundo servidor que actuará como su CA intermedia para otras necesidades.
Lo hace de esa manera para que, en caso de que algo le suceda a la CA intermedia (como le sucedió a la suya), pueda revocarlo desde su CA raíz y crear una nueva sin demasiados problemas.
Ahora, no ha especificado qué tipo de CA implementó (independiente o integrada en AD) pero, por los problemas que describe, supongo que es una integrada en AD.
Suponiendo que lo anterior sea correcto, esta es su situación: tiene una CA que se ha utilizado para emitir certificados y que ahora está deshabilitada. Toda su máquina utiliza esa CA para la inscripción automática de certificados y usted utilizó además estos certificados para la autenticación.
Ahora, si tiene el sistema configurado correctamente, lo que debería haber hecho es: revocar la antigua CA intermedia en la raíz, publicar la nuevaCRL, instale otra CA intermedia y vuelva a emitir los certificados. Es posible que también tenga que utilizar la edición ADSI para redirigir la entrada LDAP del servicio de inscripción.
En su caso, no puede hacerlo de esta manera. Tendrá que intentar realizar unamigraciónde su autoridad (asumiendo que todavía tiene acceso a la clave privada vinculada a su CA raíz opuede recuperarlo) o empezar desde cero con una nueva autoridad.
Si decide crear una nueva autoridad, esto es lo que debe hacer:
- Si no puede utilizar servidores diferentes para una CA raíz y una CA intermedia, al menos dedique una máquina para que sea su raíz. También puede optar por crear una CA raíz usando OpenSSL y usar esa CA para firmar una CA intermedia integrada en AD, pero tenga en cuenta que tendrá que generar manualmente nuevas CRL de vez en cuando para esa raíz (sin embargo, puede instalar esa CA raíz). en la misma máquina suponiendo que la protejas adecuadamente). Yo usaría un nuevo nombre de servidor para asegurarme de no mezclar las raíces nuevas y antiguas (lo que puede causar problemas y confusión), pero puedes reutilizar el mismo nombre si lo deseas.
- Una vez que tenga una nueva jerarquía de CA, distribuya la nueva raíz mediante políticas de grupo a todas las máquinas de su dominio. Agregue la raíz al almacén de "autoridades de certificación raíz confiables" y la CA intermedia al almacén de "Autoridad de certificación intermedia" (el segundo paso es principalmente una precaución).
- Obligar localmente a que la antigua CA no sea de confianza. Para ello, utilice políticas de grupo para agregar el certificado público al almacén de "Certificados no confiables".
- Vuelva a dirigir los servicios de inscripción a su nuevo servidor. Para eso, use adsiedit para navegar a Configuración/servicios/Servicios de clave pública/Servicios de inscripción y elimine la referencia al servidor de CA antiguo (el nuevo ya debería haberse registrado allí).
- Vuelva a emitir todos los certificados que necesite. Si ha configurado la CA correctamente, cualquier certificado que utilice inscripción automática se volverá a generar automáticamente a partir de la nueva CA y el antiguo se descartará. A menos que esté seguro de que estos certificados NO se han utilizado para el cifrado, NO los elimine de las máquinas/cuentas cliente.
(PD: No se sienta tan mal por no haber configurado esto correctamente en primer lugar: la administración de CA es difícil y hacerlo mal es extremadamente fácil. MS hizo que sea aún más fácil estropearlo al hacer que los servicios de certificados sean tan fáciles y rápidos de instalación: estás prácticamente condenado a equivocarte la primera vez a menos que sepas exactamente lo que estás haciendo).