Российское средство аутентификации

**lexar** · 2009-10-05 10:03:07

lexar
Посетитель
Неактивен

Тема: Запись сертификатов в память токена в AD CA Windows Server 2008

Как известно, в веб-интерфейсе центра сертификации Windows Server 2008 отсутствуют средства записи сертификата в память токена. При использовании средств выписывания сертификатов консоли MMC "Зарегистрироваться от имени" (Enroll on behalf of) происходит лишь создание сертификата и есть возможность экспортировать его в файл *.cer.
Замечу, что при добавлении роли служб сертификации я использовал в качестве поставщика RSA#Microsoft Software Key Storage Provider, выбираемый по умолчанию, потому как при выборе Aktiv ruToken CSP (скриншот 1) выводится ошибка (скриншот 2). В остальном насторойка ЦС выполнена максимально приближенно к Windows Server 2003.
Возможна ли в данном случае запись сертификата непосредственно в токен? Если нет, то как записать экспортируемый файл сертификата в память пустого токена не имея файлов *.key (может быть их можно получить)?
Буду очень признателен также за хотя-бы примерную пошаговую инструкцию установки, настройки и использования служб сертификации для Rutoken под Windows Server 2008. Уверен, она станет полезной не только для меня.

**Алексей Несененко** · 2009-10-05 11:06:40

Алексей Несененко
Техническая поддержка
Неактивен

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Какой именно сертификат Вы хотите поместить на токен?
Если сертификат пользователя, то через MMC (Enroll on behalf of) это делается довольно просто. Надо только не забыть выбрать Aktiv ruToken CSP в дополнительных настройках.

**lexar** · 2009-10-05 11:13:17

lexar
Посетитель
Неактивен

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Да, сертификат пользователя со смарт картой. Правильно ли я поступил при указанной ошибке? Эти ли "дополнительные настройки" Вы имеете ввиду?

**lexar** · 2009-10-05 13:53:19

lexar
Посетитель
Неактивен

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Проделал все в точности по инструкции - подписанный клиент при входе по токену выдает ошибку 0xC00000BB. По TechNet'у - эта ошибка возникала до SP2 при аутентификации по смарт-картам если логин и полное имя пользователя различные. Рабочая станция на SP3.
Попробовал таким способом поместить на токен сертификат администратора контроллера домена - "Вход в систему не возможен. Ваши учетные данные не могут быть проверены."
Использую последнюю версию драйверов, на контроллере установлен SP1.

P.S. На Windows Server 2003 этой ошибки не возникало.

**Алексей Несененко** · 2009-10-05 15:43:22

Алексей Несененко
Техническая поддержка
Неактивен

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Какая у Вас ОС на сервере 2008 или 2008 R2 ?
SP2 - правильно понял из описания?
Какая версия драйверов Рутокен?

Если выписывать сертификат админу на самом сервере на сервер войти можно (по сети, локально)?

**lexar** · 2009-10-05 17:07:59

lexar
Посетитель
Неактивен

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Алексей Несененко пишет:

Какая у Вас ОС на сервере 2008 или 2008 R2 ?
SP2 - правильно понял из описания?

На сервере 2008 не R2, SP1 -

lexar пишет:

Использую последнюю версию драйверов, на контроллере установлен SP1.

lexar пишет:

По TechNet'у - эта ошибка возникала до SP2 при аутентификации по смарт-картам если логин и полное имя пользователя различные. Рабочая станция на SP3.

- это про клиентскую ОС.

Алексей Несененко пишет:

Какая версия драйверов Рутокен?

Последняя.

Алексей Несененко пишет:

Если выписывать сертификат админу на самом сервере на сервер войти можно (по сети, локально)?

Я ведь писал о помещении сертификата админа и результате попытки локального входа:

lexar пишет:

Попробовал таким способом поместить на токен сертификат администратора контроллера домена - "Вход в систему не возможен. Ваши учетные данные не могут быть проверены."

Добавлю, что без использования токенов проблем с входом в домен не возникает, а этот же токен отлично работает в аналогично настроенном домене под управлением 2003-го сервера.

Отредактировано lexar (2009-10-05 17:11:10)

**Алексей Несененко** · 2009-10-06 13:53:42

Алексей Несененко
Техническая поддержка
Неактивен

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

У нас такой ошибки не возникало.

Что написано в логах сервера по этой ошибке?

**lexar** · 2009-10-09 11:17:12

lexar
Посетитель
Неактивен

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

В логах клиента была вот такая странная ошибка:

Тип события:    Ошибка
Источник события:    Kerberos
Категория события:    Отсутствует
Код события:    9
Дата:        07.10.2009
Время:        15:59:04
Пользователь:        Н/Д
Компьютер:    CLIENT1-COMP
Описание:
The client has failed to validate the Domain Controller certificate for SERVER.domain.test.org. The error data contains the information returned from the certificate  validation process. Contact your system administrator to determine why the Domain Controller certificate is invalid.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 09 01 0b 80               ...

Больше ничего криминального не нашел.

Подумал - почему бы не установить на сервер SP2, вдруг поможет? Установил, даже не снеся всю систему, удалил и заново установил все роли. Настроил все по инструкции... работает!

Спасибо за оперативные ответы!

**Velos** · 2010-12-09 22:43:12

Velos
Посетитель
Неактивен

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Доброго времени суток!
Не стал плодить отдельную тему, напишу в этой.
Поднял давиче CA на Windows Server 2008 R2.
Собственно хотел хранить закрытый ключ данного CA в защищенном хранилище (стандартный рутокен).
При создании роли CA, на стадии генерации ключей, указывал в качестве CSP RSA#Microsoft Software Key Storage Provider (идёт по-дефалту).
Собтвенно после подписания сертификата корневым CA и его установки на мой CA, сделал экспорт ключа в pfx-файл. И при попытке записать его на токен получаю следующее:

Вопрос: где грабли?
В выборе CSP или же в нововведениях 2008?
(На закрытом ключе стоят разрешения "Full Controll" для локального админа. rtcert запускал из-под него же через runas).
Драйвера x64 rt v.2.57.00.0387 от 17.11.2010
Заранее спасибо!

Отредактировано Velos (2010-12-09 22:50:36)

**Алексей Несененко** · 2011-02-15 11:49:08

Алексей Несененко
Техническая поддержка
Неактивен

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Это нововведения 2008 :(

Российское средство аутентификации

Запись сертификатов в память токена в AD CA Windows Server 2008

Сообщений [ 10 ]

1 Тема от lexar 2009-10-05 10:03:07

Тема: Запись сертификатов в память токена в AD CA Windows Server 2008

2 Ответ от Алексей Несененко 2009-10-05 11:06:40

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

3 Ответ от lexar 2009-10-05 11:13:17

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

4 Ответ от lexar 2009-10-05 13:53:19

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

5 Ответ от Алексей Несененко 2009-10-05 15:43:22

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

6 Ответ от lexar 2009-10-05 17:07:59

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

7 Ответ от Алексей Несененко 2009-10-06 13:53:42

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

8 Ответ от lexar 2009-10-09 11:17:12

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

9 Ответ от Velos 2010-12-09 22:43:12

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

10 Ответ от Алексей Несененко 2011-02-15 11:49:08

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Сообщений [ 10 ]