Навигация по записям
Всем привет, как то давно я настроил для тестирования токенов центр сертификации, и забыл про него так как все работало как часы. Сегодня ко мне обратился сотрудник, с тем что у него в веб форме выпуска сертификатов выскакивает ошибка:
Google выпустила утилиту для запуска Android приложений на Windows, Mac OS X, Linux и Chrome OSНе найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-2 часть
Опубликовано cinquefoil2014Являюсь автором проекта Windows, будь вкурсе всего, который насчитывает за пол года уже более 1000 статей. Смотреть все записи автора cinquefoil2014
—-Если мне не изменяет память, в win2k8 через RPC и Web enrollment запросить сертификат на аутентификацию машины нельзя, как говорится, by design. Думаю, вам нужно попробовать через запросы enrollment request, причем скормить файл certreq тоже не получится, это тоже отключено. Копируете в буфер обмена ваш запрос и выполняете запрос. Если лениво это делать, то создайте свой шаблон для выдачи (если, конечно у вас на выдающем ЦС win2k8 EE + Enterprise subordinate)
По моему Андрей вы ошибаетесь. Я могу запросить через Web enrollment, и получить сертификат на базе шаблона Web Server. Таким же образом я могу запросить и получить сертификат для Exchange 2007 через request файл сгенерированый PowerShell командлетом, опять же на основе того же самого шаблона Web Server. Причем полученые таким образом сертификаты абсолютно работоспособны. Проверял. Проблема именно в получении сертификатов САМИМИ машинками, без моего участия через автовыдачу из ГП, либо с моей помощью через ММС консоль. Причем в мастере запроса сертификата я вижу шаблоны и могу даже прописать их свойства (т. права на получение сертификата на основе данного шаблона у моей учетки есть. Опять же если развернуть полный список шаблонов, то на неактивных шаблонах четко написано что нет прав для получения на их основе сертификатов) Но как только я нахимаю кнопку Enroll то практически сразу же получаю ошибку из первого поста. Куда копать не понимаю. В инете такое ощущение что таких проблем ни у кого не было.
Шаблон сертификата не найден. У вас нет прав для запроса сертификата в этом ЦС, или при доступе к Active Directory произошла ошибка.
В стандартном модуле политики Windows метод Initialize возвратил ошибку. Объект или собственность не найдены. Код состояния вернул 0x80092004 (-2146885628). Политика служб сертификации Active Directory не содержит действительных шаблонов сертификатов.
Проблема служб сертификации Active Directory Сертификат CRMCA (№ 0) не существует в хранилище сертификатов CN = NTAuthCertificates, CN = Public Key Services, CN = Services в контейнере конфигурации Active Directory. Репликация каталога невозможна.
И зайдя в сам центр сертификации в шаблонах сертификатов, ошибка Не удалось загрузить информационный элемент шаблона не обнаружен.
Когда я впервые увидел это, я начал читать. Вроде бы решение составлено. Мы делаем резервную копию наших ключей и выданных сертификатов. Щелкните ЦС правой кнопкой мыши и выберите Все задачи – Хранилище ЦС.
Откроется мастер резервного копирования центра сертификации. Нажмите “Далее.
Установите флажки «Закрытый ключ», «Сертификат ЦС» и «База данных сертификатов». Указываем каталог для бэкапа.
Ставим пароль на архив.
Готовый. У нас есть все резервные копии.
В итоге получится файл.
Теперь нам нужно удалить центр сертификации, перейти в диспетчер серверов и нажать «Удалить роль.
Посмотрим на нашу роль
Снимите флажок и щелкните.
После удаления нажмите «Закрыть» и перезапустите.
Мы удалили ЦС и перезагрузились. Теперь переустановим центр сертификации. Напомню, что такой же ЦС стоит на Windows Server 2008R2, но я уверен, что решение подойдет и для 2012 R2. Откройте Диспетчер серверов и щелкните Добавить роль.
Выбор служб сертификации Active Directory.
Ставим галки в Центре сертификации и Службе регистрации в Центре сертификации.
Оставьте тип Enterprise.
Настроим использование существующего приватного ключа.
Выбираем наш старый ключ и жмем Далее.
Выбираем каталоги установки.
После установки нажмите «Закрыть.
Откройте оснастку центра сертификации.
Переходим к шаблонам сертификатов и видим, что шаблоны теперь появились.
Теперь, если вы зайдете в конфигурацию схемы, вы увидите, что наш ЦС появился
Теперь нам нужно восстановить все выданные и отозванные сертификаты, перейти в оснастку Certification Authority и нажать на все задачи – CA Restore
Появится предупреждение о том, что служба будет остановлена, нажмите ок.
Откроется мастер восстановления центра сертификации, нажмите «Далее.
Выбрав наш архив
И запускаем наш CA.
Вид неполадки
Клиенты не могут автоматически регистрировать сертификаты даже при настроенной автоматической регистрации.
Центр сертификации не может быть установлен как центр сертификации предприятия или регистрация через Интернет в центр сертификации не может быть установлена для работы с автономным центром сертификации.
- Причина. Центр сертификации был установлен пользователем, не являющимся членом группы Администраторы предприятия или Администраторы домена, поэтому пользователь не смог выбрать установку центра сертификации предприятия, и сведения о центре сертификации не удалось опубликовать в доменных службах Active Directory.
- Решение. Войдите в систему с правами члена группы Администраторы предприятия или Администраторы домена, чтобы установить центр сертификации и веб-средства регистрации центра сертификации.
- Причина. Во время установки центра сертификации не было доступа к домену.
- Решение. Убедитесь, что во время установки центра сертификации отсутствуют неполадки, связанные с сетевыми подключениями к контроллеру домена.
Ошибка при открытии веб-страниц центра сертификации.
- Причина. Пользователь, пытающийся открыть веб-страницы, не является членом группы Администраторы или Опытные пользователи на локальном компьютере. Если в центре сертификации доступна новая версия программного обеспечения регистрации сертификатов через Интернет, необходимо установить это программное обеспечение на клиентском компьютере. Для установки программного обеспечения пользователь должен являться членом группы Администраторы или Опытные пользователи.
- Решение. Войдите в систему как пользователь, являющийся членом группы Администраторы или Опытные пользователи, чтобы получить доступ к веб-страницам регистрации и загрузить новую версию программного обеспечения.
- Причина. Веб-страницы не установлены в центре сертификации.
- Решение. В командной строке центра сертификации выполните команду certutil -vroot, чтобы установить веб-страницы регистрации.
- Причина. Учетная запись компьютера может быть отключена или центр сертификации, выдавший сертификат смарт-карты, не является доверенным для компьютера.
- Решение.
Убедитесь, что учетная запись компьютера является действующей в домене.
Используйте оснастку «Сертификаты», чтобы убедиться в том, что сертификат корневого центра сертификации находится в хранилище доверенных корневых центров сертификации на компьютере пользователя.
Используйте оснастку «Сертификаты», чтобы убедиться в том, что контроллеру домена был выдан сертификат контроллера домена, который может быть удостоверен в корневом центре. - Убедитесь, что учетная запись компьютера является действующей в домене.
- Используйте оснастку «Сертификаты», чтобы убедиться в том, что сертификат корневого центра сертификации находится в хранилище доверенных корневых центров сертификации на компьютере пользователя.
- Используйте оснастку «Сертификаты», чтобы убедиться в том, что контроллеру домена был выдан сертификат контроллера домена, который может быть удостоверен в корневом центре.
При попытке регистрации сертификата, используя компьютер или учетную запись, входящую в домен, являющийся дочерним по отношению к тому домену, в котором расположен центр сертификации, будет отображено следующее сообщение об ошибке: «Не найдены шаблоны сертификатов. Нет таких ЦС, в которых вы имеете право запрашивать сертификат, или произошла ошибка доступа к Active Directory
Агент регистрации не может произвести регистрацию от имени пользователя конкретного шаблона сертификата
- Причина. Могли быть настроены ограничения агента регистрации, чтобы предотвратить регистрацию агентом сертификатов, основанных на шаблоне сертификата для этой группы пользователей.
- Решение. Такое поведение может быть плановым, если необходима регистрация агентом сертификатов, основанных на шаблоне сертификата для этой группы пользователей. Если это поведение не является запланированным, выполните действия, описанные в разделе Установка ограничений агентов регистрации для настройки необходимых разрешений агента регистрации для этой группы и шаблона сертификата.
- Причина. Сертификат агента регистрации настроен с использованием ключа криптографии следующего поколения, а сертификат был запрошен центром сертификации на основе Windows Server 2003.
- Решение. Используйте сертификат агента регистрации, совместимый с центрами сертификации под управлением Windows Server 2003, или запросите сертификат из центра сертификации на компьютере, работающем под управлением операционной системы Windows Server 2008 R2 или Windows Server 2008.
Ограниченные операции диспетчера сертификатов или агента регистрации не могут быть выполнены после переименования домена.
- Причина. В отношении ограниченных операций инспектора центр сертификации полагается на содержащееся в диспетчере учетных записей безопасности имя запрашивающей стороны, которое хранится в базе данных Active Directory, чтобы проверить, имеет ли инспектор права на обработку запроса. Однако имя в диспетчере учетных записей безопасности содержит имя домена, и ограниченная операция инспектора завершится со сбоем, если изменится имя домена (а не только часть DNS имени).
- Решение. Отключите или измените разрешения ограниченные разрешения инспектора перед повтором регистарции.
Не удается добавить новый шаблон сертификата версии 2 или версии 3 в центр сертификации.
- Причина: Центр сертификации установлен на сервере, работающем под управлением операционной системы Windows Server 2008 R2 Standard или Windows Server 2008 Standard. Шаблоны сертификатов версии 2 и 3, а также автоматическую регистрацию сертификатов можно использовать только при наличии центров сертификации, установленных в операционной системе Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise или Windows Server 2008 Datacenter.
- Решение. Обновите операционную систему на Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise или Windows Server 2008 Datacenter.
У меня возникли проблемы, не указанные в этом списке.
Четверг, 2 апреля 2015 г.
Всем привет, ранее мы рассмотрели ошибку Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-1 часть. Мы удалили CA и перезагрузились. Теперь давайте заново поставим центр сертификации.
Напомню, что сам CA у меня находится на Windows Server 2008R2, но уверен, что решение подходит и для 2012 R2.
Комментариев нет
Оснастка «Шаблоны сертификатов» не содержит шаблонов после предложения установить новые шаблоны сертификатов
- Причина: шаблоны сертификатов еще не реплицированы в центр сертификации (ЦС), к которому подключен компьютер. Эта репликация является частью репликации Active Directory.
- Решение: подождите, пока реплицируются шаблоны сертификатов, и снова откройте оснастку «Шаблоны сертификатов».
Сертификаты не выдаются клиентам
- Причина: сертификат поставщика, использованный центром сертификации (ЦС), имеет более короткий оставшийся срок действия, чем период продления шаблона, настроенный для шаблона сертификата запроса. Это означает, что выданный сертификат тотчас получил бы право на повторную подачу заявки. Вместо выдачи и непрерывного обновления этого сертификата запрос на сертификат не обрабатывается.
- Решение: обновите сертификат поставщика, использованный ЦС.
Сертификаты выдаются субъектам, но действия шифрования с этими сертификатами дают сбой
- Причина: поставщик служб шифрования (CSP) не соответствует параметрам использования ключа или не существует.
- Решение: убедитесь, что в шаблоне установлен CSP, который поддерживает тип операции шифрования, для которого будет использоваться сертификат.
Контроллеры домена не получают сертификат контроллера домена
- Причина: автоматическая подача заявок была отключена с помощью параметров групповой политики для контроллеров домена. Контроллеры домена получают свои сертификаты посредством автоматической подачи заявок.
- Решение: включите автоматическую подачу заявок для контроллеров домена.
- Причина: используемый по умолчанию параметр автоматического запроса сертификата для контроллеров домена удален из политики контроллеров домена, используемой по умолчанию.
- Решение: создайте новый автоматический запрос сертификата в используемой по умолчанию политике контроллеров домена для шаблона сертификата контроллера домена.
Клиенты не могут получить сертификаты с помощью автоматической подачи заявок
- Причина: разрешения безопасности должны быть установлены так, чтобы разрешать намеченным субъектам и подачу заявок, и автоматическую подачу заявок на основании шаблона сертификата. Чтобы включить автоматическую подачу заявок, требуются оба разрешения.
- Решение: измените список управления доступом на уровне пользователей (DACL) шаблона сертификата для предоставления требуемым субъектам разрешений «Чтение», «Заявка» и «Автоматическая подача заявок».
В оснастке имена шаблонов сертификатов в представлениях и окнах отличаются
- Причина: для просмотра шаблонов сертификатов используется оснастка «Веб-сайты и службы Active Directory». Эта оснастка не может предоставить настолько же точное отображение, как оснастка «Шаблоны сертификатов».
- Решение: используйте для администрирования шаблонов сертификатов оснастку «Шаблоны сертификатов».
Закрытый ключ нельзя экспортировать из сертификатов смарт-карт, даже если установлен флажок «Разрешить экспорт закрытого ключа» в шаблоне сертификатов
- Причина: смарт-карты не разрешают экспорт закрытых ключей, как только они занесены в смарт-карту.
- Решение: нет
Шаблон сертификата изменен, но некоторые центры сертификации (ЦС) все еще имеют неизмененную версию
- Причина: шаблоны сертификатов реплицируются между ЦС с помощью процесса репликации Active Directory. Поскольку эта репликация выполняется не мгновенно, возможна короткая задержка перед тем, как новая версия шаблона будет доступна на всех ЦС.
- Решение: подождите, пока измененный шаблон не будет реплицирован на все ЦС. Для отображения доступных на ЦС шаблонов сертификатов используйте программу командной строки Certutil.exe.
Закрытый ключ не архивируется, даже если установлен параметр «Архивировать закрытый ключ шифрования субъекта» и в ЦС настроено требование восстановления ключа
- Причина: закрытые ключи не будут архивироваться, если использование ключа для шаблона сертификата установлено в «Подпись». Причина в том, что использование цифровой подписи требует, чтобы ключ не мог быть восстановлен.
- Решение: нет
Автоматическая подача заявок предлагает возобновить не принадлежащий пользователю сертификат, а в личных хранилищах сертификатов находятся сторонние сертификаты
- Причина: при использовании на компьютере администратора станции подачи заявок смарт-карт для обновления или изменения сертификата, хранящегося на смарт-карте, сертификат со смарт-карты копируется в личное хранилище сертификатов администратора. Этот сертификат может быть обработан автоматической подачей заявок и предложен для начала процесса обновления.
- Решение: нажмите кнопку Пуск, чтобы начать процесс обновления автоматической подачи заявок. Поскольку это чужой сертификат, процесс автоматической подачи заявок закончится после нажатия кнопки Пуск. Если нужно удалить сертификаты из личного хранилища сертификатов, это можно сделать вручную.