Произошел сбой служб сертификатов AD Windows 2003 на основном контроллере домена?

Произошел сбой служб сертификатов AD Windows 2003 на основном контроллере домена?

Службы сертификации показывают ошибку: Идентификатор события: 5 Описание: Службы сертификации не смогли найти требуемую информацию в реестре. Возможно, службы сертификации необходимо переустановить.

Я вручную удалил CA с сервера, следуя инструкциям:http://support.microsoft.com/kb/889250-. На этом сервере есть Exchange с OWA и сервер ISA 2004. Теперь у некоторых клиентов в домене возникают проблемы с подключением к Интернету с использованием SSL (https), поскольку IE постоянно запрашивает имя пользователя и пароль для подключения к домену, а в журнале ISA отображается сообщение «Неудачная попытка подключения».

Я думал о том, чтобы:

  • переустановить на том же сервере службы сертификатов с тем же именем или другим именем

  • установить службы AD Cert на другой сервер с тем же или другим именем

Что мне делать, чтобы решить эту проблему? У меня из-за этого большие проблемы, поэтому, пожалуйста, помогите.

решение1

Ну, вы в какой-то неразберихе, это точно. Во-первых, вы НЕ устанавливаете CA на сервере обмена, DC или, по сути, на любой машине, которая имеет другие роли. Это рецепт катастрофы. Правильная настройка CA заключается в том, что вы выбираете сервер, который будет вашим корнем (предпочтительноавтономный корневой CA) и второй сервер, который будет выступать в качестве промежуточного центра сертификации для других нужд.

Вы делаете это таким образом, чтобы в случае, если что-то случится с промежуточным центром сертификации (как это случилось с вашим), вы могли отозвать его из своего корневого центра сертификации и создать новый без особых проблем.

Вы не указали, какой тип ЦС вы развернули (автономный или интегрированный с AD), но, судя по описанным вами проблемам, я предполагаю, что это интегрированный с AD.

Если предположить, что вышесказанное верно, то вот ваша ситуация: у вас есть CA, который использовался для выпуска сертификатов, и который теперь отключен. Этот CA используется всеми вашими машинами для автоматической регистрации сертификатов, и вы далее использовали эти сертификаты для аутентификации.

Теперь, если у вас правильно настроена система, вам следовало бы сделать следующее: отозвать старый промежуточный CA в корне, опубликовать новыйCRL, установите другой промежуточный CA и перевыпустите сертификаты. Вам также может потребоваться использовать редактирование ADSI для перенацеливания записи LDAP службы регистрации.

В вашем случае вы не сможете сделать это таким образом. Вам придется либо попытаться выполнитьмиграцияваших полномочий (при условии, что у вас все еще есть доступ к закрытому ключу, связанному с вашим корневым центром сертификации илиможно восстановить его) или начать с нуля с новым органом власти.

Если вы решили создать новый орган власти, вот что вам следует сделать:

  • Если вы не можете использовать разные серверы для корневого CA и промежуточного CA, по крайней мере выделите машину для вашего корня. Вы также можете создать корневой CA с помощью OpenSSL и использовать этот CA для подписи интегрированного в AD промежуточного CA, но имейте в виду, что вам придется вручную время от времени генерировать новые CRL для этого корня (однако вы можете установить этот корень на той же машине, если вы его должным образом защитите). Я бы использовал новое имя сервера, чтобы убедиться, что вы не смешиваете новые и старые корни (что может вызвать проблемы и путаницу), но вы можете повторно использовать то же имя, если хотите.
  • После того, как у вас есть новая иерархия CA, распространите новый корень с помощью групповых политик на все машины в вашем домене. Добавьте корень в хранилище «доверенных корневых центров сертификации», а промежуточный CA — в хранилище «промежуточного центра сертификации» (второй шаг — это в основном мера предосторожности).
  • Локально принудительно сделайте старый CA недоверенным. Для этого используйте групповые политики, чтобы добавить публичный сертификат в хранилище «Недоверенные сертификаты».
  • Перенаправьте службы регистрации на новый сервер. Для этого используйте adsiedit, чтобы перейти в Configuration / services / Public Key Services / Enrollment Services и удалите ссылку на старый сервер CA (новый уже должен быть там зарегистрирован).
  • Повторно выпустите все необходимые сертификаты. Если вы правильно настроили CA, любой сертификат, использующий автоматическую регистрацию, будет автоматически сгенерирован новым CA, а старый будет отброшен. Если вы не уверены, что эти сертификаты НЕ использовались для шифрования, НЕ удаляйте их с клиентских машин/аккаунтов.

(P.S. Не расстраивайтесь, если изначально не настроили все правильно: управление CA — сложная задача, а ошибиться в ней очень легко. MS еще больше упростила задачу, сделав установку служб сертификации такой простой и быстрой: вы практически обречены на ошибку с первого раза, если только не знаете точно, что делаете).

Связанный контент