Запись сертификатов в память токена в AD CA Windows Server 2008 (Страница 2 из 6)

К сожалению, мы пока еще не тестировали Рутокены на SBS 2011.
Как только появится возможность мы это сделаем и сообщим Вам о результатах.

Домен и центр сертификации на одном сервере?
Вы делаете все по нашей инструкции?

В общем промучался еще несколько дней с системой. Добился некоторых изменений в поведении. Для начала пришлось переставить целиком центр сертификации. Все опять же делалось по инструкции только теперь ошибка изменилась. Точно формулировку не приведу,но суть сводилась к тому что у пользователя которому следует выдать сертификат отсутствует адрес электронной почты (на SBS развернут Exchange). Пришлось через консоль Exchange делать пользователям ящики. Эта ошибка ушла, появилась другая:

т.е. не удается проверить сертификат подписи.

Смысл в том, что диагностика роли выдает следующее:

Название:
Групповая политика автоматической регистрации пользователей не включена

Серьезность:
Предупреждение

Дата:
14.11.2012 15:25:00

Категория:
Настройка

Проблема:
Этот центр сертификации (ЦС) был установлен как ЦС предприятия, но параметры автоматической регистрации пользователей не были включены в групповой политике.

Воздействие:
ЦС предприятия может использовать автоматическую регистрацию для упрощения выдачи и возобновления сертификатов. Если автоматическая регистрация не включена, выдача и возобновление сертификатов могут происходить в порядке, отличном от ожидаемого.

Разрешение:
Если необходима автоматическая регистрация пользователей, используйте консоль управления групповой политикой для настройки параметров политики автоматической регистрации пользователей; также используйте оснастку "Шаблоны сертификатов" для настройки параметров автоматической регистрации в шаблонах сертификатов.

Такая же штука для пользователя.

Если править в Default Domain Policy, политику открытого ключа одно из предупреждений уходит (то которое связано с компьютером), что бы ушло второе, связанное с пользовательскими сертификатами - надо править шаблоны сертификатов, выставляя галочку в Аutoenrollment, на вкладке безопасность. Но в стандартных шаблонах такой нет, нужно создавать шаблон на базе 2008 архитектуры. Тогда в поле безопасности появляется параметр авторегистрации. Но все равно, даже в таком случае сертификат на токе не пишется. Ошибка остается прежней. В центре сертификации появляются неудачные запросы с общим кодом:

TRUST_E_CERT_SIGNATURE     0x80096004    -2146869244

Что с этим делать уже ума не приложу. Кажется что грабли где-то прям рядышком, а где - найти опыта не хватает.

Надолго забросил тему авторизаций по токенам, но недавно опять всплыло. Вернулся к наработкам.
В общем после очередной порции проблем, не отличающихся от описанных выше - сертификат не пишется на ключ полученных уже на Windows Server 2008 R2 Standard x64. Нашел таки корни проблемы. Внимание! Если
1. Поставить из дистрибутива Windows Server 2008 R2 Standard x64
2. Поставить Драйвера Rutoken
3. Развернуть CA
4. Выписать сертификаты админу и пользователю
5. Залить их на токен - все работает замечательно.

Но я делал не так...

1. Поставить из дистрибутива Windows Server 2008 R2 Standard x64
2. ОБНОВИТЬ систему из Microsoft Update (около 100 апдейтов)
3. Поставить Драйвера Rutoken
4. Развернуть CA
5. Выписать сертификаты админу и пользователю
6. Залить их на токен - НЕ ЗАЛИВАЕТСЯ с такими же вышеприведенными ошибками.

Проверял три раза, два раза на виртуалке (СБС и 2008R2 stnd) и один на железке (2008R2stnd) На чиcтый дистриб - все разворачивается и работает, после обновлений - нет.

Прошу прощения, за назойливость, но хочется разобраться.

Вопрос такой, может известно какое обновление вызывает сбой? Или теоретически может влиять на работу токена? Тогда просто его не ставить?
Выяснять проблему методом научного перебора из разряда - навернул обновление, проверил, навернул следующее, проверил и т.д. хочется в самую последнюю очередь, а оставлять систему без апдейтов, наоборот, совсем не хочется.

Спасибо, за оперативный ответ! Буду пробовать.

Здравствуйте!

Что Вы понимаете под прописыванием?
Выписать сертификат на Рутокен можно (и даже нужно) удалённо - с клиента через оснастку mmc или web-сервер.

Подробнее (про web-консоль и экспорт в файл)  можно посмотреть у Microsoft: http://technet.microsoft.com/en-us/libr … 31649.aspx
Под автономной машиной что Вы имеете в виду? Она не в домене и не имеет связи с сетью предприятия?

Пришлите мне тоже, пожалуйста, инструкцию для server 2008 по настройке центра сертификации для использования rutoken
Нигде не могу найти...

superkraft@gmail.com