Re: Запись сертификатов в память токена в AD CA Windows Server 2008

В общем все таки некоторые проблемы с токенами на SBS 2011 сохраняются. Все действия выполняются в точности с инструкциями из высланного мануала, но на самом последнем этапе, выписывание сертификатов пользователям (шаг 50-51) происходит ошибка вида:
http://img528.imageshack.us/img528/6472/82739304.jpg
В журнале появляется предупреждение:

Имя журнала:   Application
Источник:      Microsoft-Windows-CertificationAuthority
Дата:          08.11.2012 22:55:34
Код события:   53
Категория задачи:Отсутствует
Уровень:       Предупреждение
Ключевые слова:Классический
Пользователь:  система
Компьютер:     *************.local
Описание:
Службы сертификации Active Directory отклонили запрос 9 по причине Нельзя проверить подпись сертификата. 0x80096004 (-2146869244).  Запрос был на CN=User1, OU=SBSUsers, OU=Users, OU=MyBusiness, DC=******, DC=local.  Дополнительная информация: Ошибка создания и публикации сертификата
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-CertificationAuthority" Guid="{6A71D062-9AFE-4F35-AD08-52134F85DFB9}" EventSourceName="CertSvc" />
    <EventID Qualifiers="33370">53</EventID>
    <Version>0</Version>
    <Level>3</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2012-11-08T18:55:34.000000000Z" />
    <EventRecordID>603789</EventRecordID>
    <Correlation />
    <Execution ProcessID="0" ThreadID="0" />
    <Channel>Application</Channel>
    <Computer>**************.local</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData Name="MSG_DN_CERT_DENIED_WITH_INFO">
    <Data Name="RequestId">9</Data>
    <Data Name="Reason">Нельзя проверить подпись сертификата. 0x80096004 (-2146869244)</Data>
    <Data Name="SubjectName">CN=User1, OU=SBSUsers, OU=Users, OU=MyBusiness, DC=******, DC=local</Data>
    <Data Name="AdditionalInformation">Ошибка создания и публикации сертификата</Data>
  </EventData>
</Event>

Запрашивается ПИН на токен. ТОкен периодически моргает. ТОкен форматировал. Безрезультатно. насколько правильно понимаю, нет ответа от сервера сертификации. Служба работает. Что можно попробовать сделать?

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

К сожалению, мы пока еще не тестировали Рутокены на SBS 2011.
Как только появится возможность мы это сделаем и сообщим Вам о результатах.

Домен и центр сертификации на одном сервере?
Вы делаете все по нашей инструкции?

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Делаю всю в точности в соответствии с инструкцией. Контроллер домена и центр сертификации на одном контроллере. Попробую поспрашивать на западных форумах, может всплывет что-то похожее, по результатам отпишусь. Спасибо!

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

В общем промучался еще несколько дней с системой. Добился некоторых изменений в поведении. Для начала пришлось переставить целиком центр сертификации. Все опять же делалось по инструкции только теперь ошибка изменилась. Точно формулировку не приведу,но суть сводилась к тому что у пользователя которому следует выдать сертификат отсутствует адрес электронной почты (на SBS развернут Exchange). Пришлось через консоль Exchange делать пользователям ящики. Эта ошибка ушла, появилась другая:
http://img526.imageshack.us/img526/2858/98658953.jpg
т.е. не удается проверить сертификат подписи.

Смысл в том, что диагностика роли выдает следующее:

Название:
Групповая политика автоматической регистрации пользователей не включена

Серьезность:
Предупреждение

Дата:
14.11.2012 15:25:00

Категория:
Настройка

Проблема:
Этот центр сертификации (ЦС) был установлен как ЦС предприятия, но параметры автоматической регистрации пользователей не были включены в групповой политике.

Воздействие:
ЦС предприятия может использовать автоматическую регистрацию для упрощения выдачи и возобновления сертификатов. Если автоматическая регистрация не включена, выдача и возобновление сертификатов могут происходить в порядке, отличном от ожидаемого.

Разрешение:
Если необходима автоматическая регистрация пользователей, используйте консоль управления групповой политикой для настройки параметров политики автоматической регистрации пользователей; также используйте оснастку "Шаблоны сертификатов" для настройки параметров автоматической регистрации в шаблонах сертификатов.

Такая же штука для пользователя.

Если править в Default Domain Policy, политику открытого ключа одно из предупреждений уходит (то которое связано с компьютером), что бы ушло второе, связанное с пользовательскими сертификатами - надо править шаблоны сертификатов, выставляя галочку в Аutoenrollment, на вкладке безопасность. Но в стандартных шаблонах такой нет, нужно создавать шаблон на базе 2008 архитектуры. Тогда в поле безопасности появляется параметр авторегистрации. Но все равно, даже в таком случае сертификат на токе не пишется. Ошибка остается прежней. В центре сертификации появляются неудачные запросы с общим кодом:

TRUST_E_CERT_SIGNATURE     0x80096004    -2146869244

Что с этим делать уже ума не приложу. Кажется что грабли где-то прям рядышком, а где - найти опыта не хватает.

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Установили SBS 2011 Standart
Поставили на него релизные драйвера - 2.86.00.0460.
Добавили как в инструкции шаблоны.
Добавили пользователя
Выписали на токены сертификаты и админу и пользователю.
Ввели Windows XP в домен и поставили на ней ту же версию драйвера
Вход по админскому Рутокену на сервер - ОК
Вход в домен с Windows XP по Рутокену пользователя - ОК

(2013-04-04 16:12:03 отредактировано a.romanov)

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Алексей Несененко пишет:

Установили SBS 2011 Standart
Поставили на него релизные драйвера - 2.86.00.0460.
Добавили как в инструкции шаблоны.
Добавили пользователя
Выписали на токены сертификаты и админу и пользователю.
Ввели Windows XP в домен и поставили на ней ту же версию драйвера
Вход по админскому Рутокену на сервер - ОК
Вход в домен с Windows XP по Рутокену пользователя - ОК


Надолго забросил тему авторизаций по токенам, но недавно опять всплыло. Вернулся к наработкам.
В общем после очередной порции проблем, не отличающихся от описанных выше - сертификат не пишется на ключ полученных уже на Windows Server 2008 R2 Standard x64. Нашел таки корни проблемы. Внимание! Если
1. Поставить из дистрибутива Windows Server 2008 R2 Standard x64
2. Поставить Драйвера Rutoken
3. Развернуть CA
4. Выписать сертификаты админу и пользователю
5. Залить их на токен - все работает замечательно.

Но я делал не так...

1. Поставить из дистрибутива Windows Server 2008 R2 Standard x64
2. ОБНОВИТЬ систему из Microsoft Update (около 100 апдейтов)
3. Поставить Драйвера Rutoken
4. Развернуть CA
5. Выписать сертификаты админу и пользователю
6. Залить их на токен - НЕ ЗАЛИВАЕТСЯ с такими же вышеприведенными ошибками.

Проверял три раза, два раза на виртуалке (СБС и 2008R2 stnd) и один на железке (2008R2stnd) На чиcтый дистриб - все разворачивается и работает, после обновлений - нет.

Прошу прощения, за назойливость, но хочется разобраться.

Вопрос такой, может известно какое обновление вызывает сбой? Или теоретически может влиять на работу токена? Тогда просто его не ставить?
Выяснять проблему методом научного перебора из разряда - навернул обновление, проверил, навернул следующее, проверил и т.д. хочется в самую последнюю очередь, а оставлять систему без апдейтов, наоборот, совсем не хочется.

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Microsoft выпустила прошлым летом обновление Windows КВ 2661254, которое запрещает использование RSA-ключей короче 1024 бит -  http://technet.microsoft.com/ru-ru/secu … ry/2661254 .
Вам надо создать копию шаблона и в нем указать валидную длину ключа

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Алексей Несененко пишет:

Microsoft выпустила прошлым летом обновление Windows КВ 2661254, которое запрещает использование RSA-ключей короче 1024 бит -  http://technet.microsoft.com/ru-ru/secu … ry/2661254 .
Вам надо создать копию шаблона и в нем указать валидную длину ключа

Спасибо, за оперативный ответ! Буду пробовать.

(2013-08-27 17:50:14 отредактировано e.vokhmin)

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Добрый день!

Приобрел стартовый комплект Rutoken for windows. Настроил центр сертификации (по инструкции) w2k8 r2. Но тут возникла проблема:
Все сервера виртуализированы (hyper v) и пробросить usb не представляется возможным. Вопрос: есть ли метод прописывания токенов не напрямую, а через удаленное рабочее место?

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Здравствуйте!

Что Вы понимаете под прописыванием?
Выписать сертификат на Рутокен можно (и даже нужно) удалённо - с клиента через оснастку mmc или web-сервер.

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Запись сертификата в токен. Про mmc я понял, а вот про web-сервер, хотел бы узнать по подробнее.
Есть ли возможность экспортировать сертификат в файл, для дальнейшей записи его в токен с автономной машины?

Кирилл Мещеряков пишет:

Здравствуйте!

Что Вы понимаете под прописыванием?
Выписать сертификат на Рутокен можно (и даже нужно) удалённо - с клиента через оснастку mmc или web-сервер.

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Подробнее (про web-консоль и экспорт в файл)  можно посмотреть у Microsoft: http://technet.microsoft.com/en-us/libr … 31649.aspx
Под автономной машиной что Вы имеете в виду? Она не в домене и не имеет связи с сетью предприятия?

e.vokhmin пишет:

Запись сертификата в токен. Про mmc я понял, а вот про web-сервер, хотел бы узнать по подробнее.
Есть ли возможность экспортировать сертификат в файл, для дальнейшей записи его в токен с автономной машины?

Кирилл Мещеряков пишет:

Здравствуйте!

Что Вы понимаете под прописыванием?
Выписать сертификат на Рутокен можно (и даже нужно) удалённо - с клиента через оснастку mmc или web-сервер.

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Да, она не имеет связи с сетью предприятия!

Vladimir Ivanov пишет:

Подробнее (про web-консоль и экспорт в файл)  можно посмотреть у Microsoft: http://technet.microsoft.com/en-us/libr … 31649.aspx
Под автономной машиной что Вы имеете в виду? Она не в домене и не имеет связи с сетью предприятия?

e.vokhmin пишет:

Запись сертификата в токен. Про mmc я понял, а вот про web-сервер, хотел бы узнать по подробнее.
Есть ли возможность экспортировать сертификат в файл, для дальнейшей записи его в токен с автономной машины?

Кирилл Мещеряков пишет:

Здравствуйте!

Что Вы понимаете под прописыванием?
Выписать сертификат на Рутокен можно (и даже нужно) удалённо - с клиента через оснастку mmc или web-сервер.

(2014-06-23 17:00:00 отредактировано kraft)

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

Пришлите мне тоже, пожалуйста, инструкцию для server 2008 по настройке центра сертификации для использования rutoken
Нигде не могу найти...

superkraft@gmail.com

Re: Запись сертификатов в память токена в AD CA Windows Server 2008

kraft пишет:

Пришлите мне тоже, пожалуйста, инструкцию для server 2008 по настройке центра сертификации для использования rutoken
Нигде не могу найти...

superkraft@gmail.com

Написал письмо на адрес, указанный при регистрации.