Запись сертификатов в память токена в AD CA Windows Server 2008

Как известно, в веб-интерфейсе центра сертификации Windows Server 2008 отсутствуют средства записи сертификата в память токена. При использовании средств выписывания сертификатов консоли MMC "Зарегистрироваться от имени" (Enroll on behalf of) происходит лишь создание сертификата и есть возможность экспортировать его в файл *.cer.
Замечу, что при добавлении роли служб сертификации я использовал в качестве поставщика RSA#Microsoft Software Key Storage Provider, выбираемый по умолчанию, потому как при выборе Aktiv ruToken CSP (скриншот 1) выводится ошибка (скриншот 2). В остальном насторойка ЦС выполнена максимально приближенно к Windows Server 2003.
Возможна ли в данном случае запись сертификата непосредственно в токен? Если нет, то как записать экспортируемый файл сертификата в память пустого токена не имея файлов *.key (может быть их можно получить)?
Буду очень признателен также за хотя-бы примерную пошаговую инструкцию установки, настройки и использования служб сертификации для Rutoken под Windows Server 2008. Уверен, она станет полезной не только для меня.
http://img7.imageshost.ru/imgs/091005/f817304cdb/t0642a.png http://img7.imageshost.ru/imgs/091005/6ae493fd13/t9e5f6.png

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Какой именно сертификат Вы хотите поместить на токен?
Если сертификат пользователя, то через MMC (Enroll on behalf of) это делается довольно просто. Надо только не забыть выбрать Aktiv ruToken CSP в дополнительных настройках.

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Да, сертификат пользователя со смарт картой. Правильно ли я поступил при указанной ошибке? Эти ли "дополнительные настройки" Вы имеете ввиду?

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Проделал все в точности по инструкции - подписанный клиент при входе по токену выдает ошибку 0xC00000BB. По TechNet'у - эта ошибка возникала до SP2 при аутентификации по смарт-картам если логин и полное имя пользователя различные. Рабочая станция на SP3.
Попробовал таким способом поместить на токен сертификат администратора контроллера домена - "Вход в систему не возможен. Ваши учетные данные не могут быть проверены."
Использую последнюю версию драйверов, на контроллере установлен SP1.

P.S. На Windows Server 2003 этой ошибки не возникало.

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Какая у Вас ОС на сервере 2008 или 2008 R2 ?
SP2 - правильно понял из описания?
Какая версия драйверов Рутокен?

Если выписывать сертификат админу на самом сервере на сервер войти можно (по сети, локально)?

(2009-10-05 17:11:10 отредактировано lexar)

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Алексей Несененко пишет:

Какая у Вас ОС на сервере 2008 или 2008 R2 ?
SP2 - правильно понял из описания?

На сервере 2008 не R2, SP1 -

lexar пишет:

Использую последнюю версию драйверов, на контроллере установлен SP1.

lexar пишет:

По TechNet'у - эта ошибка возникала до SP2 при аутентификации по смарт-картам если логин и полное имя пользователя различные. Рабочая станция на SP3.

- это про клиентскую ОС.

Алексей Несененко пишет:

Какая версия драйверов Рутокен?

Последняя.

Алексей Несененко пишет:

Если выписывать сертификат админу на самом сервере на сервер войти можно (по сети, локально)?

Я ведь писал о помещении сертификата админа и результате попытки локального входа:

lexar пишет:

Попробовал таким способом поместить на токен сертификат администратора контроллера домена - "Вход в систему не возможен. Ваши учетные данные не могут быть проверены."

Добавлю, что без использования токенов проблем с входом в домен не возникает, а этот же токен отлично работает в аналогично настроенном домене под управлением 2003-го сервера.

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

У нас такой ошибки не возникало.

Что написано в логах сервера по этой ошибке?

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

В логах клиента была вот такая странная ошибка:

Тип события:    Ошибка
Источник события:    Kerberos
Категория события:    Отсутствует
Код события:    9
Дата:        07.10.2009
Время:        15:59:04
Пользователь:        Н/Д
Компьютер:    CLIENT1-COMP
Описание:
The client has failed to validate the Domain Controller certificate for SERVER.domain.test.org. The error data contains the information returned from the certificate  validation process. Contact your system administrator to determine why the Domain Controller certificate is invalid.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 09 01 0b 80               ...

Больше ничего криминального не нашел.

Подумал - почему бы не установить на сервер SP2, вдруг поможет? Установил, даже не снеся всю систему, удалил и заново установил все роли. Настроил все по инструкции... работает!

Спасибо за оперативные ответы!

(2010-12-09 22:50:36 отредактировано Velos)

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Доброго времени суток!
Не стал плодить отдельную тему, напишу в этой.
Поднял давиче CA на Windows Server 2008 R2.
Собственно хотел хранить закрытый ключ данного CA в защищенном хранилище (стандартный рутокен).
При создании роли CA, на стадии генерации ключей, указывал в качестве CSP RSA#Microsoft Software Key Storage Provider (идёт по-дефалту).
Собтвенно после подписания сертификата корневым CA и его установки на мой CA, сделал экспорт ключа в pfx-файл. И при попытке записать его на токен получаю следующее:
http://velos.users.photofile.ru/photo/velos/115313786/xlarge/141195287.jpg
Вопрос: где грабли?
В выборе CSP или же в нововведениях 2008?
(На закрытом ключе стоят разрешения "Full Controll" для локального админа. rtcert запускал из-под него же через runas).
Драйвера x64 rt v.2.57.00.0387 от 17.11.2010
Заранее спасибо!

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Это нововведения 2008 :(

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Здравствуйте,  пытаюсь внедрить авторизацию пользователей RDP на Microsoft Small Buisiness Server 2011 Standard SP1 x64. По факту внутри Server 2008 R2 Standard x64.

Драйвера на сервере и клиенте (Windows XP SP3) последние - 2.86.00.0460.

Куплен стартовый комплект Rutoken для Windows - чисто попробовать. Внутри ключ Rutoken S 32K.  Проба пока как-то не нравится. Во-первых инструкции по разворачиванию центра сертификации под Server 2008 ни на сайте, ни на форуме, ни в комплекте поставки я не нашел. Простите, если плохо смотрел. Дайте пожалуйста ссылку на руководство. Ведь, мягко говоря, настройки Server 2003 и Server 2008 отличаются. А уже и 2012 вышел... 

Впрочем, до выдачи сертификата и установки его на токен дело не доходит, фактически на моменте установки роли появляется ошибка, аналогичная ошибке топикстартера:


Установка делается так:
- Диспетчер сервера - Роли - Добавить Роль
- Галочка службы сертификации AD - Далее
- Галочка Центр сертификации (Веб службы не ставлю пока, ибо не стартует служба сертификации)
- Далее - ЦС предприятия - Далее
- Корневой ЦС
- Новый закрытый ключ - далее
- Поставщик шифрования AktivRutoken CSP v1.0, длина ключа 2048 тип sha1
- Далее имя ЦС, описание, расположение БД и журнала
-  Установить. Все. На этом кино кончается. Один раз как-то при переустановке система запросила ПИН токена и все. Больше при переустановках не спрашивала ни разу.
https://forum.rutoken.ru/uploads/transfer/users/1000/1/tmp/thumb/p178gf9j21u4sob1iss2qe1jru1.jpg

https://forum.rutoken.ru/uploads/transfer/users/1000/1/tmp/thumb/p178gfao8me0s197p17fm1k2u19kg2.JPG


https://forum.rutoken.ru/uploads/transfer/users/1000/1/tmp/thumb/p178gfb24en0v14id1efk14851ev93.JPG

Удаление служб сертификации делаю согласно технету майкрософта, удаляя закрытые ключи. Если поставщик шифрования - другой - все стартует. Ошибок нет.

Где грабли? Планирую откатить сервер до состояния чистой установки и экспериментировать дальше. Спасибо!

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

когда и где Вы приобрели Rutoken для Windows ?

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Приобретен был у ЗАО "Софткей" в ноябре 2011 года.

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

a.romanov пишет:

Приобретен был у ЗАО "Софткей" в ноябре 2011 года.

Вам отправлено письмо на адрес указанный при регистрации.

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Алексей Несененко пишет:
a.romanov пишет:

Приобретен был у ЗАО "Софткей" в ноябре 2011 года.

Вам отправлено письмо на адрес указанный при регистрации.

Спасибо за оперативный ответ!