Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Тема: Центр сертификации. Невозможно разблокировать систему.  (Прочитано 3664 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Сертификат контроллера должен быть установлен на рабочую станцию, вроде как.

MCSE: Messaging, MCSE: Communication, MCSE: Productivity, MCSA: Office 365, MCPSmy blog — http://it-blojek.ru

Огромное человеческое спасибо за то,что натолкнул на мысль!На контроллере домена, в личных сертификатах компьютера необходимо было запросить сертификаты от нового ЦС «Контроллер домена», «Почтовая репликация каталога», «Проверка подлинности контроллера домена». Не могу сказать что нужны все 3, запросил все сразу, а не по одному. И теперь вход по рутокену осуществляется.

Да, натолкнулся на ту же проблему.На контроллере домена запустил mmc.exe с правами администратора, добавил оснастку сертификаты, при добавлении указал, что добавлять для компьютера и запросил новые сертификаты, как указано в сообщении выше.

да часто такие проблемы бывают, на самом деле

« Последнее редактирование: 23 Октября 2017, 00:39:51 от Retif »

Удаленный рабочий стол (RD) зачастую используется как инструмент удаленного администрирования не только внутри корпоративных сетей, но и для доступа извне, через интернет. Незащищенное использование RDP может сделать успешными брутфорс-атаки и атаки «человек посередине», поэтому нужно с большим вниманием относиться к защите соединения RDP при внешнем подключении к сети. Одним из вариантов реализации такой защиты под управлением Microsoft Windows Server являются службы удалённых рабочих столов RDS (Remote Desktop Services), которые разворачиваются в доменной среде ActiveDirectory. В этом разделе рассматривается настройка роли шлюза подключений RDGateway, входящей в состав RDS, на примере WindowsServer 2016 с использованием алгоритмов ГОСТ, реализованных в КриптоПро CSP 4.0 и КриптоПро CSP 5.0.

Упрощённая схема подключения по протоколу RDP, защищённому TLS, с устройств, находящихся вне корпоративной сети, показана на рисунке. Аутентификация пользователя производится по электронному ключу на носителе.

В настройках подключения к удалённому рабочему столу внешнего устройства (компьютера, ноутбука и т.д.) со смарт-картой (например, USB-токеном) в качестве адреса шлюза удалённых рабочих столов указывается внешний адрес межсетевого экрана (Firewall) и порт (по умолчанию 443), а в качестве адреса назначения указывается имя удалённого компьютера, на который требуется зайти. Через межсетевой экран соединение направляется на шлюз подключений RDGateway. В соответствии с политиками домена шлюз позволяет установить c компьютером внешнего пользователя шифрованный канал, через который по протоколу RDP уже и происходит соединение с компьютером внутри защищённой сети.

Для реализации этой схемы нужно произвести настройку служб WindowsServer и клиентских машин (в этой инструкции не упоминается настройка AD, DNS, Firewall, эти службы должны быть настроены согласно схеме сети организации):

  • Установить СКЗИ КриптоПро CSP на серверные и клиентские машины.
  • Настроить службу сертификации Active Directory (ЦС) и шаблоны сертификата TLS и клиентского сертификата для аутентификации по RDP с помощью смарт-карты
  • Выпустить сертификаты для серверов и клиентов.
  • Настроить TS Gateway.
  • Дать права на сертификат TLSслужбам, которые их будут использовать (например, NetworkServices).
  • Выбрать сертификаты TLS в свойствах служб сервера терминалов.
  • Выдать пользователям права на доступ по RDP.
  • Настроить политики авторизации соединений (TSCAP).
  • Разрешить удаленные подключения на клиентских машинах.

Для реализации шифрования по алгоритмам ГОСТ требуется установить СКЗИ КриптоПро CSP на сервер, на котором разворачивается контроллер домена, на сервер Центра сертификации (в случае, если служба ЦС располагается на отдельном сервере), на сервер или сервера, где разворачиваются службы удалённых рабочих столов и на компьютеры пользователей которые будут осуществлять доступ по RDP в соответствии с документацией по установке СКЗИ КриптоПро CSP. При этом на серверных машинах должна применяться серверная лицензия на КриптоПро CSP, на клиентских – клиентская.

Оставлено
:
25 августа 2014 г. 11:46:45(UTC)

Добрый день, не знаю в каком разделе создавать тему, по этому зарание извиняюсь если создал не там.

В PKIVIEW доступны по крайней мере пара CDP со списками отзывов. Сами списки по ссылкам,если вставить в браузер, скачиваются нормально. На рабочей станции установлены все сертификаты и они валидны. Удалял и переустанавливал все сертификаты на контроллерах домена. Фаервол отключен, ICA пингуется с машинки. Прикладываю скрин -как выглядит список точек распространения, и результат выполнения certutil -verify -urlfetch на проблемной машине по сертификату контроллера домена:

Поставщик: CN=easystep-CANEV-CA DC=easystep DC=localСубъект: EMPTY (DNS-имя=AD1.easystep.local)Серийный номер сертификата: 530000016dca326cf513bbf07a00000000016d

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)HCCE_LOCAL_MACHINECERT_CHAIN_POLICY_BASE——— CERT_CHAIN_CONTEXT ———ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)

—————- OCSP сертификата —————- Отсутствуют URL «Нет» Время: 0 ———————————

Exclude leaf cert: 1f f2 1c 22 a0 5c 89 4d 0d 5f fb 21 c4 2d bb f6 e6 fb e0 e0Full chain: be cf 50 8e b5 b7 61 c6 d3 f7 99 f9 b7 a7 d7 16 73 42 14 ec Issuer: CN=easystep-CANEV-CA, DC=easystep, DC=local NotBefore: 19.08.2014 15:46 NotAfter: 19.08.2016 15:56 Subject: Serial: 530000016dca326cf513bbf07a00000000016d SubjectAltName: DNS-имя=AD1.easystep.local Template: Domain Controller Authentication 91 0e 39 e7 c4 e0 c1 58 65 2b 2a c6 5d f5 c5 dc ab b0 fb 22Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613)

Проверка списка отзыва пропущена — сервер отключен или вне сетиПроверка отзыва сертификата выполненаCertUtil: -verify — команда успешно выполнена.К слову на проблемной машине Win 7 x86 sp1, брэндмауэр и касперский отключены. Списки отзывов установлены, только я их ставлю,указываю им хранилище «промежуточные центры сертификации», они устанавливаются но в оснастке в списке отзывов их почему-то не видно.

Помогите коллеги! Всё перепробовал! Тупик (

Расшифровка кодов ошибок ядра Windows с 0xC0000385 по 0xC000038E

STATUS_SMARTCARD_IO_ERROR Код ошибки: 0xC0000387 Обнаружена ошибка связи со смарт-картой.

STATUS_DOWNGRADE_DETECTED Код ошибки: 0xC0000388 Системой обнаружена попытка нарушения безопасности. Проверьте наличие доступа к серверу, через который был выполнен вход.

STATUS_SMARTCARD_CERT_REVOKED Код ошибки: 0xC0000389 Сертификат смарт-карты, используемый при проверке учетных данных, был отозван. Обратитесь к системному администратору. Дополнительная информация может содержаться в журнале событий.

STATUS_ISSUING_CA_UNTRUSTED Код ошибки: 0xC000038A Обнаружен ненадежный центр сертификации при обработке сертификата смарт-карты при аутентификации. Обратитесь к системному администратору.

STATUS_REVOCATION_OFFLINE_C Код ошибки: 0xC000038B Не удалось определить, не отозван ли сертификат смарт-карты, используемый при проверке учетных данных. Обратитесь к системному администратору.

STATUS_PKINIT_CLIENT_FAILURE Код ошибки: 0xC000038C Сертификат смарт-карты, используемый при проверке учетных данных, не имеет доверия. Обратитесь к системному администратору.

STATUS_SMARTCARD_CERT_EXPIRED Код ошибки: 0xC000038D Срок действия сертификата смарт-карты, использованного для аутентификации, истек. Обратитесь к системному администратору.

STATUS_DRIVER_FAILED_PRIOR_UNLOAD Код ошибки: 0xC000038E Драйвер не может быть загружен, поскольку в памяти находится его предыдущая версия.

Сертификат ненадежен

Как исправить надежность? Пишется, что этот сертификат не удалось проверить, проследив его до доверенного центра сертификации.Сертификат действующий. Заранее спасибо!

#2 Ответ от Ксения Шаврова 2014-06-30 13

  • Ксения Шаврова
  • Администратор
  • Неактивен

Здравствуйте, Иван Васильевич.Сообщение «Сертификат ненадежен» чаще всего возникает когда на компьютере не установлен корневой сертификат Удостоверяющего центра в хранилище «Доверенные корневые центры сертификации».Чтобы выгрузить и установить доверенный корневой сертификат сделайте следующее:— Откройте «Пуск» — «Панель управления» — «Крипто ПРО CSP» — вкладка «Сервис» — «Просмотреть сертификаты в контейнере» — «Обзор» — выбираете контейнер сертификата — «Ок» — «Далее» — «Свойства. » — «Состав» — «Копировать в файл. » — «Далее» — «Нет, не экспортировать закрытый ключ» — «Далее» — «Файлы X.509 (.CER) в кодировке DER» — «Обзор. » — задаете произвольное имя файла и сохраняете в удобном для Вас месте.— Созданный файл сертификата запускаете двойным щелчком — «Установить сертификат. » — «Далее» — «Поместить все сертификаты в следующее хранилище» — «Обзор. » — «Доверенные корневые центры сертификации» — «Ок» — «Далее» — «Готово»

Читать также:  Пользователя с таким сертификатом нет или он еще не активен нэп

Как исправить ошибку «Этот сертификат содержит недействительную цифровую подпись»

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

В данной статье мы расскажем о путях решения ошибки «Этот сертификат содержит недействительную цифровую подпись» на примере «Тензор» и Казначейства. Вы узнаете, что такое цепочка доверия¸ как её настроить и многое другое.

Для возможности использования квалифицированной электронно-цифровой подписи (далее — КЭЦП) необходимо, чтобы криптопровайдер счёл сертификат пользователя достоверным, то есть надёжным. Этого можно добиться только в том случае, если корректно выстроена линия доверия сертификата, которая состоит из трёх элементов:

Сертификат ключа проверки ЭП (далее — СКПЭП).

Промежуточный сертификат (далее — ПС).

Корневой сертификат (далее — KC).

Изменения хотя бы одного из этих документов повлечёт за собой недействительность сертификата, из-за чего он не сможет быть применён для заверки электронной документации. Также причинами ошибки может оказаться некорректная работа криптопровайдера, невозможность интегрирования с браузером и т.п.

Ниже мы рассмотрим, по каким причинам возникает ошибка «Этот сертификат содержит недействительную подпись», и что делать, чтобы ее исправить.

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

В сертификате содержится недействительная цифровая подпись

О том, что в сертификате присутствует недействительная ЦП, пользователь может понять в момент заверения цифрового документа КЭЦП, когда на дисплее отобразится соответствующие системное сообщение.

Для того, чтобы узнать о состоянии ключа, следует:

Открыть раздел «Все программы» и перейти в «КриптоПро».

После этого нужно нажать л.к.м. на «Сертификаты».

В строке хранилище, отметить нужное.

Кликнуть на выбранный сертификат.

Открыть раздел «Путь сертификации».

В строке «Состояние» будет отражён статус неактивного сертификата.

Во вкладке «Общие» отображается причина, к примеру, «Этот сертификат не удалось проверить, проследив его до доверенного центра».

Сообщение об ошибке может отображаться по следующим причинам:

Линия доверия была нарушена (неправильно прописан путь сертификации), произошло повреждение одного или всех сертификатов (кодирование соединения не будет доверенным, либо просто не будет работать).

Некорректно инсталлирован криптопровайдер КриптоПро.

Алгоритмы шифрования СКЗИ не работают, или работают некорректно.

Нет доступа к реестровым документам.

Версия браузера устарела.

На компьютере выставлены неправильные хронометрические данные.

Из всего этого следует, что ошибка может быть вызвана: напрямую сертификатом, криптопровайдером, либо некорректными настройками компьютера. При этом, все эти варианты предполагают разные способы решения проблемы.

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Цепочка доверия, от министерства цифрового развития и связи до пользователя

До того, как приступить к выяснению причины ошибки, в первую очередь, необходимо разобраться в алгоритме строения цепочки доверия сертификатов (далее, — ЦДС) – она является обязательной для правильной работы КЭЦП на всех существующих информационных ресурсах.

Принцип построения ЦДС

Первая ступень в построении ЦДС – это корневой сертификат ключа проверки министерства цифрового развития и связи. Именно Минкомсвязь производит аккредитацию удостоверяющих центров и предоставляет им разрешение на выпуск КЭЦП. Список аккредитованных УЦ представлен на официальном сайте Министерства цифрового развития и связи.

КС выдаётся пользователю при получении КЭЦП, также его можно загрузить с сайта roskazna.ru, либо с официального портала УЦ. В цепи доверия он занимает не последнее значение — и служит подтверждением подлинности КЭЦП.

Вторая ступень – это ПС, он предоставляется в комплекте с КС и включает в себя:

Данные об УЦ и срок действия ключа.

Электронный адрес для связи с реестром организации.

Данные сведения поступают в закодированном формате и применяются криптопровайдером для подтверждения подлинности открытого ключа КЭЦП.

В теории КЭЦП может быть украдена у владельца, но использовать её без инсталлированного сертификата УЦ не представляется возможным. Все эти меры направлены на то, чтобы минимизировать риски незаконного применения КЭЦП посторонними лицами.

СКПЭП последнее звено цепи доверия. УЦ предоставляет его вместе с открытым и закрытым ключом. Сертификат может быть предоставлен в бумажном, либо электронном виде, на него записаны основные сведения о владельце КЭЦП.

СКПЭП объединяет открытый ключ с определенным человеком, иными словами, подтверждает факт принадлежности ЭП конкретному лицу.

КС министерства цифрового развития и связи действителен, вплоть до 2036 года, а ПС предоставляется только на год, затем необходимо оплатить новый и инсталлировать его на свой компьютер.

Причиной возникновения ошибки «Этот сертификат содержит недействительную цифровую подпись» может служить повреждение любого отрезка ЦДС, начиная с Минкомсвязи РФ и заканчивая пользователем.

Пути решения ошибки

Запустите скачанный файл на компьютере и, в разделе «Общие», нажмите «Установить».

Поставьте отметку рядом со строчкой «Поместить в следующее хранилище».

Укажите хранилище «Доверенные корневые центры сертификации».

Для продолжения инсталляции, кликните на кнопку «ОК» и дайте согласие в окне, предупреждающем о безопасности.

После инсталляции сертификата, перезагрузите ПК.

Файл предоставляется УЦ одновременно с остальными средствами для генерации КЭЦП, если он потерян или удалён, необходимо обратиться в УЦ, предоставивший СКПЭП.

Когда с КС Минкомсвязи всё в порядке, но статус по-прежнему неактивен, необходимо его переустановить (удалить и инсталлировать повторно).

Существует ещё один вариант исправления ошибки, но он срабатывает не каждый раз. В случае, если предыдущий способ не помог, войдите в «Пуск», в строке поиска наберите regedit, после чего войдите в редактор и самостоятельно удалите следующие файлы.

На форуме CryptoPro CSP предлагается еще один вариант решения проблемы. Но работает он не всегда. Если установка документа не помогла, откройте меню «Пуск» и выполните поиск редактора реестра по его названию regedit. В редакторе найдите и вручную удалите следующие ветки:

Они могут быть как полностью, так и частично, поэтому следует удалить все, что имеется. Проверьте статус, он должен стать активным.

Следует помнить, что самовольное редактирование реестровых ключей может отразиться на работе системы, поэтому лучше поручить данную работу специалистам.

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Исправление ошибки, на примере казначейства

Наиболее популярная причина недействительности сертификата – это нарушение путей сертификации. Причём неполадки могут быть не только в файлах министерства цифрового развития и связи, но и в промежуточных, а также личных СКЭП.

Ниже мы разберём причину ошибки, на примере Управления Федерального казначейства (УФК).

Изменение или повреждение файла УФК

Обязанности УЦ исполняются в территориальных органах Росказны по всей России. Для проведения аукционов и размещения на платформах сведений о госзакупках, участники должны подписывать отчёты цифровой подписью, полученной в УФК.

В случаях, когда не получается подписать документ, предоставленной казначейством ЭП, и высвечивается ошибка « Этот сертификат содержит недействительную цифровую подпись», необходимо:

Зайти в раздел «Личное».

Указать неработающий СКПЭП, после чего открыть раздел «Путь сертификации». В таком случае, основным УЦ будет выступать Мнкомсвязи РФ, а подчинённым УФК. Самым последним элементом в доверительной линии будет СКПЭП пользователя.

Если после этого, статус до сих пор недействительный, то следует проследить всю доверительную линию и определить слабый элемент.

Читать также:  Чем отличаются старый и новый материнские капиталы в России, что изменится в выплатах в 2020 году? Когда можно начать получать декретные выплаты на первого ребенка

Вернуться обратно во вкладку «Общие» и проверить, правильно ли указаны данные организации, выпустившей СКПЭП.

После чего перейти в «Промежуточные центры сертификации». Если выявится, что причина в данном звене, в разделе «Общие» появятся следующие данные: «Этот сертификат не удалось проверить, проследив его до . ».

Загрузить «Сертификат УЦ Федерального казначейства».

Переместить файл на компьютер. Процедура перемещения такая же, как и для основного центра, но как хранилище необходимо указать «Промежуточные центры сертификации».

Выключите и включите ПК.

На последнем этапе нужно открыть вкладку «Личное» и указать необходимый СЭП, после чего сделать проверку пути сертификации.

Если всё прошло удачно, и проблема решена, в строке со статусом отобразится «Этот сертификат действителен». Значит, система произвела проверку ЦДС и не обнаружила отклонений.

Истечение срока

Каждый календарный год пользователю необходимо инсталлировать новый промежуточный ключ на ПК, с которого применяется КЭЦП. ОС должна в автоматическом режиме извещать пользователя, когда подойдёт срок. Если своевременно этого не сделать, то при подписании электронных документов, может отобразиться сообщение о том, что ключ не действителен. Процесс инсталляции, будет таким же, как и описанные выше. При этом удалять устаревший ПС не нужно, система просто пометит его как неактивный.

Для установки новых ключей не требуется подключения к интернету, файл будет проверен в автоматическом режиме, как только устройство выйдет в сеть.

Ошибка с отображением в КриптоПро

Когда возникает подобная ошибка, некоторые сайты могут отклонять СЭП, зато остальные с лёгкостью интегрируются с ней, потому что не все сайты производят проверку пути до основного УЦ. Исправление появившихся вследствие этого ошибок может усложняться, потому что в таких ситуациях вся цепь доверия не имеет нарушений и обозначается как активная.

В таких ситуациях может оказаться что неполадка связана с работой криптопровайдера, либо браузера.

Неправильная работа КриптоПро

Для того, чтобы убедиться в корректности работы, нужно зайти в КриптоПро CSP и открыть раздел «Алгоритмы». Если их характеристики пустые, это означает, что программа работает неправильно и её следует переустановить:

Для того, чтобы произвести переустановку, необходимо наличие специального программного обеспечения (КриптоПро), которую можно загрузить с портала разработчика. Она создана для экстренного удаления криптопровайдера. Этот способ даёт возможность полностью удалить КриптоПро с компьютера, что необходимо для качественной переустановки.

Сервисы инициализации

СЭП может высвечиваться как недействительный, в случаях, когда не активирована служба распознавания КриптоПро CSP.

Для того, чтобы проверить активность службы:

Активируйте системное окошко «Выполнить», зажав на клавиатуре Win+R.

После чего вбейте в командной строке services.msc.

В перечне служб, укажите «Службы инициализации».

Зайдите в подраздел «Свойства» и если служба неактивна, запустите её.

Выключите и включите компьютер, если всё сделано правильно КЭЦП будет работать корректно.

Что делать, если ошибка вызвана сбоем браузера

Если после коррекции цепочки доверия, устранения неисправностей криптопровайдер, ошибка всё равно высвечивается, существует вероятность того, что она вызвана сбоем браузера. В основном, так происходит при заверении документов на государственных порталах, либо сайтах контролирующих органов.

Создатели CryptoPro советуют пользоваться для работы с КЭП, только Internet Explorer, так как он уже вшит в Windows, но даже с ним может произойти сбой.

Вход под администраторскими правами

Чаще всего, после того как пользователь входит под паролем администратора, всё налаживается, и ключи начинают функционировать в стандартном режиме.

Что нужно сделать:

Правой кнопкой мыши нажмите на значок браузера.

Выберите строку «Запуск от имени администратора».

После того, как ошибка исчезнет:

Кликните на «Дополнительно»

И выберите «Запуск от имени администратора».

Теперь каждый раз при загрузке ПК, права администратора будут вступать в силу автоматически и больше не потребуется постоянно изменять настройки.

Выключение антивирусника

Некоторые антивирусные программы, к примеру, Symantec или AVG, распознают КриптоПро, как угрозу, и начинают блокировать программные процессы. В результате возникают всевозможные ошибки с СКПЭП, поэтому для того, чтобы подписать цифровой документ, желательно на некоторое время выключить антивирусную программу, для этого:

Нажав правой кнопкой мыши на значок антивирусной программы, выберите «Сетевые экраны» или «Управление экранами».

После чего, отметьте временной отрезок, на который предусмотрено отключение ПО.

Когда электронный документ будет подписан, активируйте антивирусную программу обратно.

Настройка хронометрических данных

Также необходимо проверить, актуально ли на компьютере выставлено число и время, для этого:

Правой кнопкой мыши кликните на значок часов в правом нижнем углу монитора.

Центр сертификации AD + Smart Card = Авторизация пользователя в домене

Первое, что нам необходимо — это наличие считывателя для смарт-карт и карты, а также желание помочь пользователям забыть о пароле.

Для тестирования использовались продукты компании ESMART группы компаний ISBC (esmart.ru):

Считыватель ACR 38U:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Считыватель ACR 39U:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Смарт-карта ESMART Token SC 64k:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Второе — это наличие домена.

Первоначально спроектируем инфраструктуру PKI. При планировании необходимо определить количество и иерархию Центров Сертификации.

Мы использовали двухуровневую иерархию PKI с двумя центрами ЦС. Схема выглядит так:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Добавим все контролеры домена в группу безопасности Certificate Service DCOM Access. Это необходимо для того чтобы была возможность запрашивать сертификат пользователя.

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Теперь перейдем непосредственно к установке и настройке ЦС.

Добавляем роль сервера:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Сервер ЦС должен быть в домене, иначе у вас не будет активно пункт Enterprise (Предприятие):

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

На следующем шаге установки выбираем нужны пункт смотря какой ЦС устанавливаем:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Создаем закрытый ключ:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Выбираем необходимые настройки. Мы использовали алгоритм SHA-512 и длину ключа 2048:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Задаем имя отображаемое в сертификате:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Выбираем срок действия сертификата ЦС. Для корневого ЦС мы оставили срок 10 лет, для подчиненного 5 лет, для сертификатов пользователей 1 год:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Указываем, где будем хранить логи:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Далее в мастере оставим все по умолчанию:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Итак, после установки у нас доступна служба регистрации по адресу http(s)://IP адрес или DNS имя сервера ЦС/certsrv. Настроем https протокол на IIS. Для корректной работы службы выдаче сертификатов необходимо создать сертификат домена и указать его роли IIS для протокола https.

Открываем Сертификаты серера:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Нажимаем Создать сертификат домена:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Выписанный сертификат появиться в списке сертификатов сервера. Его необходимо привязать к протоколу https. При привязке мы оставили доступ только через https:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Чтобы не было проблем с ActiveX, необходимо добавить ресурс в доверенные узлы. Добавляли его через GPO.

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Итак, пол дела сделано. Теперь необходимо настроить АРМ пользователей. Делать это будем через GPO.

Первое что необходимо сделать это задать параметр запуска службы «Политика удаления смарт-карты»:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Через GPO настроим интерактивный вход для пользователей. Включаем параметр «Интерактивный вход в систему: Требовать смарт-карту» и «Интерактивный вход в систему: Поведение при извлечении смарт-карты».

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Далее настроим шаблоны для выдачи сертификатов.

В оснастке Центр сертификации нажимает правой кнопкой на разделе «Шаблоны сертификатов» и создаем выдаваемые три шаблона.

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

По необходимости можно отредактировать шаблоны под нужды или требования компании. После изменения не забываем опубликовать шаблоны в домене.

Для того чтобы запрашивать сертификаты необходимо запросить сертификат Агента запроса сертификата. Для этого делаем запрос от имени Администратора домена или пользователя с делегированными правами.

Читать также:  Как посмотреть электронный сертификат на материнский капитал через госуслуги пошагово на ребенка

Открываем оснастку сертификатов для локального пользователя, раздел Personal (Личные). В контекстном меню выберите All tasks – Request new certificate (Все задачи – Запросить новый сертификат). Нажмите Next. На следующем экране отметьте Enrollment Agent (Агент запроса сертификата) и нажмите Enroll (Запросить). После чего у администратора появиться новый сертификат:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

А теперь сделаем запрос пользовательского сертификата на смарт-карту.

Укажем сертификат агента регистрации:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

В списке запросов указываем «Вход со смарт-картой»:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

В настройках необходимо указать криптографического провайдера:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Выбираем пользователя для которого будет выписан сертификат:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

Для выдачи сертификата вставляем смарт-карту и вводим PIN от карты:

Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт карты

После всех операций можно проверять карту на рабочей станции пользователя.

Аналогичный алгоритм можно использовать для настройки авторизации пользователя по etoken PRO (Java).

Спасибо что читали данную статью. Если есть вопросы задавайте, буду рад ответить!

При обработке сертификата смарт карты обнаружен ненадежный центр сертификации

Проверьте контролеры домена, там в нужных контейнерах присутствуют сертификаты RCA и ICA?

Распространите сертификаты Центров Сертификации с помощью Групповых политик.

Разобрался. Похоже решение которое я описал выше помогло, дело было за перезагрузкой серверов!

Резюме. К устранению ошибки аутентификации привели следующие действия: Удалил все сертификаты на всех контроллерах домена, включая сертификаты RCA и ICA;

Исправил http адрес в CDP на рабочий;

Установил сертификаты заново, на смарт карту тоже, т.к. были оновлены точки распространения CRL;

Перезагрузка серверов, что бы сработала autoenrollment.

All replies

Пользователи заходят в систему с использованием сертификатов?

1. Сертификат корневого центра сертификации должен быть установлен на клиентском компьютере в » Доверенные Корневые Центры Сертификации»

2. Сертификат от Промежуточного (Доверенного) Центра сертификации доложен быть установлен в «Промежуточные Центры сертификации»

3. Должны быть доступны Списки отзывов.

4. Проверьте, что пользовательский сертификат выдан именно тем центром который используется на данный момент.

3. В папке промежуточные центры сертификации -списки отзывов -установлены оба,с промежуточного и с корневого.

4. именно тем который работает, прослеживается ципочка до корневого,всё в порядке. Пробовал удалить все сертификаты,запросить заново, и переопубликовать списки отозванных, не помогло.

Пользователи заходят в учётные записи используя смарт карту рутокен с сертификатом

Вы специально так пишите, или случайно получается?

Когда входите локально, проблем нет?

Какая ОС у Вас на компьютере?

Важные нюансы нужно писать при начале диалога.

Драйвера присутствуют к Вашему рутокен? Они установлены на удаленной машине?

В свойствах RDP-Локальные-Смарт Карты стоит галочка?

Если компьютер не включен в розетку то Вы не дошли бы до RDP, это очевидно.

Если не приятно получать лишние вопросы, то излагайте свои мысли и происходящее правильно.

К сожаления или к счастью я не телепат.

Обнаружил интересную особенность:

После обновления на контроллерах домена всех сертификатов,включая промежуточный и корневой, на контроллеры со смарт картой пускать стал. После обновления всех сертификатов на терминальном сервере, теперь пишет: «Статус отзыва контроллера домена при проверке смарт карты не определён». На контроллере домена открываю один из личных сертификатов машины, и смотрю там адрес точки распространения CRL, пробую тыкнуться на неё через браузер -403 такой дериктории нет. Есть другая ссылка, по которой список отозванных сертификатов доступен. Может её нужно прописать и перезапросить сертификаты на контроллерах?

Настройки удаленных подключений на машинах внешней сети

Для успешного соединения не забудьте подключить вашу смарт-карту к компьютеру

Установка и настройка службы сертификации ActiveDirectory (Центра сертификации)

Описание настройки службы сертификации (CAEnterprise) и выпуска сертификатов можно прочесть в документации ЖТЯИ.00103-01 92 01. Инструкция по использованию. Windows (раздел 5). Для выпуска сертификатов по алгоритмам ГОСТ также можно использовать КриптоПро УЦ версий 1.5 или 2.0, установив и настроив их в соответствии с документацией к этим продуктам. Собственный Центр сертификации требуется в том случае, если сертификаты для серверных и клиентских машин организация выпускает самостоятельно.

При использовании сторонних выпускающих центров сертификации необходимо добавлять сертификаты, обеспечивающие доверие, в хранилище NTAuth службы Active Directory https://support.microsoft.com/ru-ru/kb/295663.

Выпуск серверных и клиентских сертификатов

Выпуск сертификатов производится согласно документации ЖТЯИ.00103-01 92 01. Инструкция по использованию. Windows (раздел 5).

При этом в свойствах сертификата TLS рекомендуется указывать все необходимые для идентифицирования имена в поле Дополнительное имя субъекта (SubjectAlternativeName, SAN)

Выпускаем сертификат TLS в соответствии с алгоритмом ГОСТ, для этого подходит шаблон «Проверка подлинности рабочей станции», выгружаем в .pfx

Выпускаем сертификаты пользователей домена на основе шаблона для входа по смарт-карте с использованием алгоритмов ГОСТ.

У сертификатов смарт-карт есть дополнительные требования к формату:

  • Использование ключа = Цифровая подпись
  • Использование улучшенного ключа =
  • Проверка подлинности клиента (1.3.6.1.5.5.7.3.2) (Проверка подлинности клиента (OID) требуется только в случаях, когда сертификат используется для проверки подлинности по протоколу SSL.)
  • Вход в систему с помощью смарт-карты (1.3.6.1.4.1.311.20.2.2)
  • Дополнительное имя субъекта = другое имя: Основное имя пользователя= (UPN). Например:

Подробнее о создании шаблона сертификата TLS в УЦ 2. 0 для защиты RDP-подключений

Для выпуска правильного сертификата TLS нужно создать шаблон сертификата в консоли Диспетчера УЦ. Для этого создаётся копия шаблона Веб-сервера (Диспетчер УЦ — Роли УЦ — Сервер ЦС — Шаблоны — Добавить). В мастере создания шаблона сертификата выбирается шаблон Веб-сервер, указывается наименование нового шаблона, например, RDG-сервер и далее по подсказкам мастера.

После этого редактируются свойства шаблона (важно разрешить в параметрах создания ключа экспорт ключа)

Назначение пользователям прав на доступ по RDP в домен

Рекомендуется проверять, что сертификат указан в свойствах служб сервера терминалов. Для этого запустите оснастку диспетчера шлюза удалённых рабочих столов через командную строку, выполнив команду tsgateway.msc

Назначение прав доступа к закрытому ключу сертификата TLS

Для того, чтобы сертификат TLS мог использоваться службами удалённого рабочего стола, необходимо дать этим службам права на контейнер закрытого ключа.

Для этого в хранилище Личное Локального компьютера нужно выбрать сертификат TLS, правой кнопкой мыши вызвать контекстное меню: Все задачи — Управление закрытыми ключами – в открывшемся окне необходимо добавить учётную запись NETWORKSERVICE (или пула приложений, что предпочтительнее) и установить для неё права на чтение закрытого ключа.

Настройка политики авторизации соединений

Откройте оснастку диспетчера шлюза удалённых рабочих столов через командную строку, выполнив команду tsgateway.msc

Следуя указаниям мастера создания новых политик авторизации укажите требуемые значения, при этом на шаге Требования при указании метода проверки подлинности Windows отметьте пункт Смарт-карта. Пункт Пароль можно оставить, но его будет необходимо отключить в свойствах политики после успешной проверки авторизации по смарт-карте. Укажите группу или группы пользователей, которым разрешается удалённый доступ по RDP.

Следуя дальнейшим указаниям мастера завершите настройку новой политики. В списке политик проверьте, что политика находится в состоянии Включено.

Настройка политики авторизации ресурсов

Выберите в дереве сервер шлюза удалённых рабочих столов и откройте Политики — Политики авторизации ресурсов. Создайте новую политику. Для этого вызовите контекстное меню, щёлкнул правой кнопкой мыши по Политикам авторизации ресурсов и выберите Создать новую политику — Мастер.

В пункте Сетевой ресурс укажите группу сетевых ресурсов, которые будут доступны пользователям или же выберите Разрешить подключение пользователей к любому сетевому ресурсу.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *