Тема от APens

  • APens
  • Посетитель
  • Неактивен

Корневой сертификат под Windows XP недействителен.

Развернута двухуровневая PKI (за основу взято http://technet.microsoft.com/library/hh831348.aspx).
Корневой  и выпускающий Центры Сертификации под Windows server 2012 st. Edition. Корневой CA –автономный, на виртуальной машине. Выпускающий  (ISS-CA), он же центр сертификации предприятия, развернут на отдельном физическом сервере, включенном в домен. На рабочей станции под Windows 8 запрошены сертификаты для пользователей (через Enroll On Behalf Of) по шаблону «Вход по смарт-карте» и записаны на Рутокен (тип S 32K).  Панель управления Рутокен (версия 2.87.00.0476) на станции выдачи показывает, что сертификат действителен. Аутентификация  в домене по смарт-карте благополучно проходит на компьютерах как под Windows 8, так и под Windows Vista (машины под Windows 7, зарегистрированной в домене, под рукой нет, но уверен, что с ними проблем не будет). Зато под Windows XP «Вход по смарт-карте» не работает. Заходим по паролю, запускаем Панель управления Рутокен (версия 2.87.00.0481) и видим, что сертификат есть, но он отмечен ка ненадежный, если посмотреть состав сертификата, то в последней строке свойств видим «Расширенная информация», в которой «Состояние отзыва: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификата недоступен». Запускаем оснастку «Сертификаты» и открываем «Доверенные корневые центры сертификации», находим здесь сертификат нашего корневого CA, открываем его и видим тоже самое –он помечен как ненадежный и на вкладке «Путь сертификации» читаем: Этот сертификат содержит недействительную цифровую подпись». Запускаем на контроллере домена (отдельный сервер под Windows server 2012 st. edition) PKIView и видим, что все хорошо для обоих CA – и состояние сертификатов и расположение AIA , CDP (размещены только на сайте). Вопрос – почему цифровую подпись  корневого CA  Windows XP считает недействительной, а более свежие ОС "читают" ее без проблем?https://forum.rutoken.ru/uploads/transfer/0/6500/6514/thumb/p182ifcneud5tg5srf715vb1psr1.jpg

Ответ от APens

  • APens
  • Посетитель
  • Неактивен

Re: Корневой сертификат под Windows XP недействителен.

Добавлю, что при развертывании обоих CA в файле CAPolicy.inf  был  указан параметр AlternateSignatureAlgoritm=1
В статье (http://technet.microsoft.com/library/hh831348.aspx). Есть предупреждение
«Windows XP and Windows Server 2003 certificate clients do not support the Alternate Signature Algorithm. If you want these clients to be able to enroll for certificates, do not add the line AlternateSignatureAlgorithm=1 to the CAPolicy.inf»
Я понадеялся, что проблема будет проявляться только при запросе сертификатов из под Windows XP (так я перевел текст), а это меня не пугало, поскольку запрашивать сертификаты с клиентов под XP я не планировал. Но похоже на то, что Windows XP вообще не может обрабатывать цифровую подпись в альтернативном формате и, следовательно, вся PKI, в которой корневой центр использует альтернативный формат цифровой подписи, будет недействительна для этих клиентов.
Кто-нибудь сталкивался с такой проблемой? Есть ли способ проверить это кроме как переделать всю PKI заново?

Ответ от Ксения Шаврова

  • Ксения Шаврова
  • Администратор
  • Неактивен

Re: Корневой сертификат под Windows XP недействителен.

APens пишет:

Добавлю, что при развертывании обоих CA в файле CAPolicy.inf  был  указан параметр AlternateSignatureAlgoritm=1
В статье (http://technet.microsoft.com/library/hh831348.aspx). Есть предупреждение
«Windows XP and Windows Server 2003 certificate clients do not support the Alternate Signature Algorithm. If you want these clients to be able to enroll for certificates, do not add the line AlternateSignatureAlgorithm=1 to the CAPolicy.inf»
Я понадеялся, что проблема будет проявляться только при запросе сертификатов из под Windows XP (так я перевел текст), а это меня не пугало, поскольку запрашивать сертификаты с клиентов под XP я не планировал. Но похоже на то, что Windows XP вообще не может обрабатывать цифровую подпись в альтернативном формате и, следовательно, вся PKI, в которой корневой центр использует альтернативный формат цифровой подписи, будет недействительна для этих клиентов.
Кто-нибудь сталкивался с такой проблемой? Есть ли способ проверить это кроме как переделать всю PKI заново?

К сожалению, мы не сталкивались с данной проблемой и можем только предположить причины данного поведения.
Предлагаем проверить следующее:
- доступен ли список отзыва сертификатов;
- проверьте правильность установки даты и времени на компьютере;
- сертификаты по групповой политике должны распространяться, но на XP могли не успеть добавиться в доверенные (как вариант - можно добавить их вручную или выполнить команду gpupdate /force);
Если указанные пункты проверены, однако проблема все еще сохраняется, советуем Вам обратиться в службу технической поддержки Microsoft, т.к. данная проблема не связана непосредственно с носителем Рутокен, что подтверждается работоспособностью в другой ОС.

Ответ от APens

  • APens
  • Посетитель
  • Неактивен

Re: Корневой сертификат под Windows XP недействителен.

Спасибо за оперативный ответ, Вы совершенно правы - данная проблема не связана с носителем Рутокен. PKI у нас развернута в тестовом режиме и переделка на данном этапе не вызовет проблем в работе информационной системы.