Os serviços de certificado AD do Windows 2003 falharam no controlador de domínio primário?

Os serviços de certificado AD do Windows 2003 falharam no controlador de domínio primário?

Os serviços de certificado mostram erro: ID do evento: 5 Descrição: os serviços de certificado não conseguiram encontrar as informações de registro necessárias. Os serviços de certificados podem precisar ser reinstalados.

Eu removi manualmente o CA do servidor seguindo as instruções:http://support.microsoft.com/kb/889250-. Neste servidor está o Exchange com OWA e o servidor ISA 2004. Agora, alguns clientes em um domínio têm problemas para se conectar à Internet usando SSL (https) porque o IE solicita constantemente nome de usuário e senha para se conectar ao domínio, e o log do ISA mostra "Falha na tentativa de conexão".

Eu tenho pensado em:

  • reinstalar no mesmo servidor serviços de certificação com o mesmo nome ou nome diferente

  • instale os serviços AD Cert em outro servidor com o mesmo nome ou nome diferente

O que devo fazer para resolver esse problema? Estou com um grande problema por causa disso, então, por favor, ajude.

Responder1

Bem, você está em algum tipo de confusão, isso é certo. Primeiro, você NÃO instala uma CA em um servidor Exchange, DC ou, de fato, em qualquer máquina que tenha outras funções. Isso é um recibo para o desastre. A configuração adequada de uma CA é que você escolha um servidor para ser sua raiz (de preferência umCA raiz off-line) e um segundo servidor para atuar como sua CA intermediária para outras necessidades.

Você faz dessa forma para que, caso algo aconteça com a CA intermediária (como aconteceu com a sua), você possa revogá-la da sua CA raiz e construir uma nova sem muitos problemas.

Agora, você não especificou que tipo de CA você implantou (autônomo ou integrado ao AD), mas, pelos problemas que você descreve, presumo que seja integrado ao AD.

Supondo que o que foi dito acima esteja correto, aqui está a sua situação: você tem uma CA que foi usada para emitir certificados e agora está desabilitada. Essa CA é usada por todas as suas máquinas para registro automático de certificados e você ainda usou esses certificados para autenticação.

Agora, se você tiver o sistema configurado corretamente, o que você deveria ter feito é: revogar a antiga CA intermediária na raiz, publicar a novaCRL, instale outra CA intermediária e emita novamente os certificados. Talvez você também precise usar a edição ADSI para redirecionar a entrada LDAP do serviço de registro.

No seu caso, você não pode fazer isso dessa maneira. Você terá que tentar realizar ummigraçãoda sua autoridade (assumindo que ainda tem acesso à chave privada associada à sua CA de raiz oupode recuperá-lo) ou começar do zero com uma nova autoridade.

Se você decidir criar uma nova autoridade, eis o que você deve fazer:

  • Se você não puder usar servidores diferentes para uma CA raiz e uma CA intermediária, pelo menos dedique uma máquina para ser sua raiz. Você também pode optar por criar uma CA raiz usando OpenSSL e usar essa CA para assinar uma CA intermediária integrada ao AD, mas esteja ciente de que você terá que gerar manualmente novas CRLs de vez em quando para essa raiz (você pode, no entanto, instalar essa raiz na mesma máquina, desde que você a proteja adequadamente). Eu usaria um novo nome de servidor para garantir que você não misture as raízes novas e antigas (o que pode causar problemas e confusão), mas você pode reutilizar o mesmo nome, se desejar.
  • Depois de ter uma nova hierarquia de CA, distribua a nova raiz usando políticas de grupo para todas as máquinas do seu domínio. Adicione a raiz ao armazenamento de "autoridades de certificação raiz confiáveis" e a CA intermediária ao armazenamento de "Autoridade de certificação intermediária" (a segunda etapa é principalmente uma precaução).
  • Forçar localmente a CA antiga a não ser confiável. Para isso, use políticas de grupo para adicionar o certificado público ao armazenamento de “Certificados não confiáveis”.
  • Redirecione os serviços de registro para seu novo servidor. Para isso, use o adsiedit para navegar até Configuração / serviços / Serviços de chave pública / Serviços de inscrição e remova a referência ao servidor CA antigo (o novo já deve estar registrado lá).
  • Emita novamente todos os certificados necessários. Se você configurou a CA corretamente, qualquer certificado que use registro automático será gerado novamente automaticamente a partir da nova CA e o antigo será descartado. A menos que você tenha certeza de que esses certificados NÃO foram usados ​​para criptografia, NÃO os exclua das máquinas/contas clientes.

(PS: Em primeiro lugar, não se sinta mal por não ter configurado isso corretamente: o gerenciamento de CA é difícil e fazê-lo errado é extremamente fácil. A MS tornou ainda mais fácil bagunçar tudo, tornando os serviços de certificado tão fáceis e rápidos de instalar: você está praticamente fadado a errar na primeira vez, a menos que saiba exatamente o que está fazendo).

informação relacionada