證書服務顯示錯誤:事件 ID:5 說明:證書服務找不到所需的註冊表資訊。可能需要重新安裝證書服務。
我已按照說明從伺服器手動刪除 CA:http://support.microsoft.com/kb/889250-。該伺服器上有帶有 OWA 的 Exchange 和 ISA 2004 伺服器。現在,網域中的一些用戶端在使用 SSL (https) 連接到網路時遇到問題,因為 IE 不斷要求使用者名稱和密碼才能連接到網域,並且 ISA 日誌顯示「連線嘗試失敗」。
我一直在想:
在同一伺服器上重新安裝具有相同名稱或不同名稱的憑證服務
在另一台具有相同名稱或不同名稱的伺服器上安裝 AD 憑證服務
我該怎麼做才能解決這個問題?因為這個我遇到了很大的麻煩,所以請幫忙。
答案1
好吧,你肯定陷入了某種混亂。首先,您不要在交換伺服器、DC 或任何實際上具有其他角色的電腦上安裝 CA。這是災難的收據。 CA 的正確設定是選擇一台伺服器作為根(最好是一台伺服器)離線根CA),還有第二台伺服器充當您的中間 CA 以滿足其他需求。
您這樣做是為了,萬一中間 CA 發生問題(就像發生在您的 CA 上一樣),您可以從根 CA 中撤銷它並建立一個新的 CA,而不會出現太多問題。
現在,您還沒有指定您部署的 CA 類型(AD 整合的獨立 CA),但從您描述的問題來看,我假設它是 AD 整合的 CA。
假設上述內容正確,您的情況如下:您有一個用於頒發憑證的 CA,但現在已停用。您的所有電腦都使用該 CA 進行自動憑證註冊,並且您進一步使用這些憑證進行驗證。
現在,如果您的系統設定正確,您應該要做的是:撤銷根上舊的中間 CA,發布新的CRL,安裝另一個中間 CA 並重新頒發憑證。您可能還必須使用 ADSI 編輯來重新定位註冊服務 LDAP 條目。
就您而言,您不能這樣做。您必須嘗試執行移民您的權限(假設您仍然可以存取連結到您的根 CA 的私鑰或可以恢復它)或從頭開始使用新的權限。
如果您決定建立一個新的權威機構,您應該執行以下操作:
- 如果您無法為根 CA 和中間 CA 使用不同的伺服器,請至少指定一台電腦作為您的根。您也可以選擇使用 OpenSSL 建立根 CA,並使用該 CA 簽署 AD 整合的中間 CA,但請注意,您必須不時為該根手動產生新的 CRL(但是,您可以安裝該根)在同一台機器上(假設您正確保護它)。我將使用新的伺服器名稱來確保您不會混合新舊根(這可能會導致問題和混亂),但如果您願意,您可以重複使用相同的名稱。
- 擁有新的 CA 層次結構後,使用群組原則將新的根分發到網域中的所有電腦。將根新增至「受信任的根憑證授權單位」存儲,並將中間 CA 新增至「中間憑證授權單位」儲存體(第二步主要是預防措施)。
- 在本地強制舊 CA 不可信。為此,請使用群組原則將公用憑證新增至「不受信任的憑證」儲存體。
- 將註冊服務重新定位到您的新伺服器。為此,請使用 adsiedit 導航至“配置”/“服務”/“公鑰服務”/“註冊服務”,並刪除對舊 CA 伺服器的引用(新伺服器應該已在那裡註冊)。
- 重新頒發您需要的所有憑證。如果您已正確設定 CA,則任何使用自動註冊的憑證都將從新 CA 自動重新生成,而舊憑證將被丟棄。除非您確定這些憑證未用於加密,否則請勿從客戶端電腦/帳戶中刪除它們。
(PS,不要因為一開始就沒有正確設定這一點而感到太難過:CA 管理很困難,而且很容易做錯。MS 透過讓憑證服務變得如此簡單和快速,使事情變得更容易搞砸。安裝:除非您確切知道自己在做什麼,否則您幾乎注定第一次就會出錯)。