Запрос сертификата был передан локальному центру сертификации но сертификат не выдан

Возможная причина: запрос передан на обработку в Центр сертификации, но Центр сертификации отклонил запрос и не изготовил сертификат.

Рекомендуемое решение: На Сервере ЦС в журнале приложений и/или в Журнале ЦС Диспетчера УЦ посмотреть причину отклонения и сформировать запрос, удовлетворяющий требованиям ЦС.

Ниже представлены некоторые из причин отклонения запросов центром сертификации и рекомендации для их устранения.

Request denied — неуникальный открытый ключ

Возможная причина: Запрос на сертификат был отклонен ЦС потому, что открытый ключ из этого запроса имеется в одном из ранее выданных сертификатов.

Такая ситуация, как правило, возникает, если в Консоли ЦР делается попытка выдать сертификат с использованием готового запроса на сертификат из файла при условии, что по этому запросу ранее уже был выдан сертификат.

Рекомендуемое решение: Для решения возникшей проблемы необходимо сформировать новый запрос на сертификат для этого пользователя ЦР, с обязательным созданием нового закрытого ключа.

В интернете вы сможете найти огромное множество статей по продлению сертификатов Exchange любых версий. На удивление встречаются крайне адекватные статьи не только на англоязычных ресурсах 1, но и на русскоязычных 2. Яркий тому пример — блог Алексея Богомолова 3 (блог посвящен исключительно Exchange Server). Лично я постоянно пользуюсь этим ресурсом и очень его люблю и уважаю за фундаментальный подход к вопросу освещения проблемы.

Раньше я пользовался сертификатами Exchange от Comodo, но недавно решил перейти на сертификаты, выпущенные локальным центром сертификации, развернутом на контроллере домена под управлением Windows Server 2008 R2. Почему? Этот вопрос в рамках этой статьи оставим без ответа и перейдем сразу к процессу продления сертификата.

Остальные статьи по цифровым сертификатам вы сможете найти в рубрике Digital Certificates.

Найти больше информации по настройке и администрированию Exchange 2013 на моем блоге вы сможете в основной статье тематики — Exchange 2013 — Установка, настройка, администрирование.

Форум КриптоПро

КриптоПро УЦ

КриптоПро УЦ 2.0

Ошибка при выпуске пользовательского сертификата

—-Если мне не изменяет память, в win2k8 через RPC и Web enrollment запросить сертификат на аутентификацию машины нельзя, как говорится, by design. Думаю, вам нужно попробовать через запросы enrollment request, причем скормить файл certreq тоже не получится, это тоже отключено. Копируете в буфер обмена ваш запрос и выполняете запрос. Если лениво это делать, то создайте свой шаблон для выдачи (если, конечно у вас на выдающем ЦС win2k8 EE + Enterprise subordinate)

По моему Андрей вы ошибаетесь.
Я могу запросить через Web enrollment, и получить сертификат на базе шаблона Web Server. Таким же образом я могу запросить и получить сертификат для Exchange 2007 через request файл сгенерированый PowerShell командлетом, опять же на основе того же самого шаблона Web Server. Причем полученые таким образом сертификаты абсолютно работоспособны. Проверял.
Проблема именно в получении сертификатов САМИМИ машинками, без моего участия через автовыдачу из ГП, либо с моей помощью через ММС консоль. Причем в мастере запроса сертификата я вижу шаблоны и могу даже прописать их свойства (т.е. права на получение сертификата на основе данного шаблона у моей учетки есть. Опять же если развернуть полный список шаблонов, то на неактивных шаблонах четко написано что нет прав для получения на их основе сертификатов) Но как только я нахимаю кнопку Enroll то практически сразу же получаю ошибку из первого поста.
Куда копать не понимаю. В инете такое ощущение что таких проблем ни у кого не было.

Конфигурация центра сертификации для публикации сертификатов в Active Directory доверенного домена

В этой статье решается проблема, при которой выданный сертификат не публикуется в Active Directory, когда пользователи из детского домена в качестве центра сертификации запрашивают сертификат.

Применяется к: Windows Server 2012 R2 Исходный номер КБ: 281271

Симптомы

В следующих сценариях, если пользователь из того же домена, что и ЦС, запрашивает сертификат, выданный сертификат публикуется в Active Directory. Если пользователь из детского домена, этот процесс не будет успешным. Кроме того, если пользователи из того же домена, что и ЦС, запрашивают сертификат, выданный сертификат не может быть опубликован в Active Directory.

Сценарий 1

В этом сценарии ЦС не публикует выданные сертификаты объекту DS пользователя в детском домене, если верны следующие условия:

• Пользователь находится в двухуровневой иерархии домена с родительским и детским доменом.
• ЦС Enterprise расположен в родительском домене, а пользователь — в детском домене.
• Пользователь в детском домене зачислется в родительский ЦС.

В двухуровневой иерархии домена с родительским и детским доменами Enterprise ЦС расположен в родительском домене. И пользователи находятся в детском домене. Пользователи в детском домене регистрируется в родительском ЦС, а ЦС публикует выданные сертификаты объекту DS пользователя в детском домене.

Кроме того, на сервере CA регистрируется следующее событие:

Сценарий 2

Рассмотрим следующий сценарий.

• Пользователь находится в одноуровневом домене или родительском домене.
• ЦС Enterprise на родительском домене.
• Контроллеры домена не устанавливают hotfix 327825.
• Пользователь, как в домене единого уровня, так и в родительском, регистрется в органе сертификации единого уровня или родительском органе сертификации.

В этом случае орган сертификации не публикует выданные сертификаты на объект доменного сервера пользователя в одноуровневом домене или родительском домене.

Причина

Для сценария 1:двухуровневая иерархия доменов

Пользователи из детского домена не имеют соответствующих разрешений для регистрации. Даже если это происходит, у ЦС нет разрешений на доступ к публикации сертификата в Active Directory.

По умолчанию разрешения на регистрацию имеют только пользователи домена из того же домена, что и ЦС.

По умолчанию ЦС имеет следующие необходимые разрешения, предоставленные пользователям в своем домене:

Сценарий 2:одноуровневый домен или родительский домен

После применения hotfix KB327825следующие группы учетных записей пользователей в Windows теперь защищены группами учетных записей пользователей:

Операторы учетных записей

Решение

Попробуйте следующее решение в соответствии с вашим сценарием.

Двухуровневая иерархия доменов

Чтобы позволить пользователям домена ребенка получать сертификаты и публиковать их в Active Directory, выполните следующие действия:

Сначала необходимо установить средства поддержки из Windows Professional или Windows Cd-ROM server.

Укажи пользователям домена ребенка получать сертификаты и публиковать их в Active Directory

Установите разрешения в ЦС, чтобы разрешить пользователям в детском домене запрашивать сертификат. По умолчанию он должен быть на месте.

• Откройте привязку к органу сертификации, щелкните правой кнопкой мыши ЦС и выберите Свойства.
• На вкладке Безопасность убедитесь, что группе пользователей с проверкой подлинности разрешено запрашивать сертификаты.

• Откройте оснастку сайтов и служб Active Directory.
• Выберите view и выберите узел показать службы.
• Расширь папку Узел служб, расширив службы общедоступных ключей, а затем выберите шаблоны сертификатов.
• В области Подробные сведения выберите нужный шаблон или шаблоны. Например, щелкните правой кнопкой мыши шаблон сертификата пользователя, а затем выберите Свойства.
• На вкладке Безопасность выдай разрешения на регистрацию нужной группе, например пользователям с проверкой подлинности.

Настройте модуль выхода ca для публикации сертификатов в Active Directory.

• В оснастке Управления сертификации щелкните правой кнопкой мыши ЦС, а затем выберите Свойства.
• На вкладке Exit Module выберите Настройка.
• В свойствах модуля Exit выберите сертификаты Allow, которые будут опубликованы в поле Active Directory.

На контроллере домена ребенка:

В Windows доменах Server группа Cert Publishers — это глобальная группа доменов. Необходимо вручную добавить группу Cert Publishers в каждый детский домен.

Вы можете позволить пользователям домена ребенка получать сертификаты и публиковать их в доменах Windows Server. Для этого измените тип группы на Локальный домен и включите сервер CA из родительского домена. Эта процедура создает ту же конфигурацию, которая присутствует в недавно установленном домене Windows Server. Пользовательский интерфейс (пользовательский интерфейс) не дает изменить тип группы. Однако вы можете использовать команду, чтобы изменить группу Cert Publishers из группы Domain Global в dsmod локализованную группу домена:

В некоторых случаях невозможно изменить groupType напрямую с глобальной на локализованную группу домена. В этом случае необходимо изменить глобальную группу в универсальную группу и изменить универсальную группу в локализованную группу домена. Для этого выполните указанные ниже действия.

Введите следующую команду и нажмите клавишу ВВОД:

Эта команда изменяет глобальную группу в универсальную группу.

Эта команда изменяет универсальную группу в локализованную группу домена.

Одноуровневый домен или родительский домен

На контроллере домена единого уровня или на родительском контроллере домена запустите следующие две команды, сохраняя кавычка:

Состояние

Корпорация Майкрософт подтвердила, что это проблема в Windows Server.

Дополнительные сведения

Как исправить надежность? Пишется, что этот сертификат не удалось проверить, проследив его до доверенного центра сертификации.Сертификат действующий. Заранее спасибо!

#2 Ответ от Ксения Шаврова 2014-06-30 13

• Ксения Шаврова
• Администратор
• Неактивен

Сертификат ненадежен

Здравствуйте, Иван Васильевич.Сообщение «Сертификат ненадежен» чаще всего возникает когда на компьютере не установлен корневой сертификат Удостоверяющего центра в хранилище «Доверенные корневые центры сертификации».Чтобы выгрузить и установить доверенный корневой сертификат сделайте следующее:— Откройте «Пуск» — «Панель управления» — «Крипто ПРО CSP» — вкладка «Сервис» — «Просмотреть сертификаты в контейнере» — «Обзор» — выбираете контейнер сертификата — «Ок» — «Далее» — «Свойства. » — «Состав» — «Копировать в файл. » — «Далее» — «Нет, не экспортировать закрытый ключ» — «Далее» — «Файлы X.509 (.CER) в кодировке DER» — «Обзор. » — задаете произвольное имя файла и сохраняете в удобном для Вас месте.— Созданный файл сертификата запускаете двойным щелчком — «Установить сертификат. » — «Далее» — «Поместить все сертификаты в следующее хранилище» — «Обзор. » — «Доверенные корневые центры сертификации» — «Ок» — «Далее» — «Готово»

Устранение неполадок служб сертификации Active Directory

После изменения разрешений безопасности должен окончиться срок действия некоторых кэшированных записей управления доступом, поэтому придется подождать некоторое время, прежде чем новые разрешения безопасности реплицируются в сети.

Агент регистрации не может произвести регистрацию от имени пользователя конкретного шаблона сертификата

Статья обновлена: 16 февраля 2021 ID: 12489

Статья относится к:

• Kaspersky Internet Security;
• Kaspersky Total Security;
• Kaspersky Security Cloud;
• Kaspersky Small Office Security.

Проблема

Сайт может быть небезопасным, ваши учетные данные и другую информацию могут украсть злоумышленники. Мы не рекомендуем открывать такой сайт. Подробнее о возможных причинах смотрите ниже.

Если вы изменяли стандартные настройки для проверки защищенных соединений, сообщение может возникнуть при работе с программами, установленными на компьютере. Чтобы этого избежать, верните настройку для проверки защищенных соединений в стандартное значение.

Если вы уверены в безопасности открываемого сайта, например, это официальный сайт Microsoft или сайт вашего банка, который вы регулярно посещаете:

• исключите из проверки сайт, при открытии которого появляется сообщение, инструкция ниже;
• временно отключите проверку защищенных соединений, инструкция ниже.

Мы не рекомендуем полностью отключать проверку защищенных соединений, так как это снизит уровень защиты компьютера.

Если сообщение появилось, когда вы открывали неизвестный сайт, вы можете разрешить однократное открытие этого сайта. Инструкция ниже.

Если вы не уверены в безопасности сайта, перед открытием проверьте его через OpenTip.

Причины появления сообщения

Для начала сохраним сертификат корневого центра, чтобы потом распространить его через групповые политики (немного забегаю вперед):

Снова заходим на стартовую страницу центра сертификации теперь уже для получения сертификата Exchange 2013. Идем по порядку как на скриншотах:

Вот тут начинается самое интересное. Нужно выбрать шаблон сертификата «Веб-сервер», но в выпадающем списке у меня его не было! Причина крылась в правах: сеанс браузере был открыт из под пользователя без прав администратора домена или администратора организации. Почему-то по легкому пути (открыть браузер под админом домена) я не пошел, у меня даже не возникло такой мысли и я решил таки выдать права нужному юзеру. Для этого на сервере сертификации заходим в оснастку «Шаблоны сертификатов» и ищем шаблон «Веб-сервер». После чего в свойствах даем необходимые права вашей учетке:

Теперь у вас есть все шансы получить нужный сертификат, выбрав шаблон, к которому вы только что настраивали права:

У нас был запрос на получение сертификата в центре администрирования Exchange и есть готовый сертификат. Выполняем запрос и назначаем сертификату необходимые сервисы (значок карандашика в EAC 7, далее «Службы», должны быть выбраны как минимум «SMTP» и «IIS», при сохранении изменений вам будет предложено перезаписать используемый сертификат новым, соглашаемся)

Стоит отметить, что на этом ваши проблемы только начинаются, ведь по умолчанию у юзеров новый сертификат не будет являться надежным и аутлук работать откажется. Чтобы не оставить всю компанию без почты (никто ведь не догадается зайти в OWA), просто распространим сертификат через групповые политики. Нам будет нужен не сертификат Exchange 2013 (хотя можете и засунуть его за компанию, хуже не сделаете точно), а сертификат корневого центра сертификации, на котором мы получали сертификат для Exchange. Кстати, этот сертификат мы сохранили ранее (см. текст выше) и снова за ним лезть не придется. В оснастке групповых политик (gpmc.msc — Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Политики открытого ключа — Доверенные корневые центры сертификации) импортируем сертификат и на этом все. Вообще подробно сам процесс описан в одной неплохой статье 8, Для нас же это не основная тематика и задача по большому счету завершена — создан запрос сертификата Exchange 2013, выпущен новый сертификат.

Настройка окружения

Как и в статье Алексея, мне пришлось немного поднастроить свой центр сертификации и все началось с установки компонента «Служба регистрации в центре сертификации через Интернет». Если кто-то не помнит как добавлять необходимые компоненты определенной роли в Windows Server 2008 R2, то это делается вот так:

Для поддержки сертификатом дополнительных имен узлов нам действительно нужно отдельно включать поддержку SAN 4 5 в нашем ЦС. Алексей не забыл упомянуть и это в своей статье 6. Выполняем в командной строке с правами админа команду:

certutil -setreg policyEditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

net stop certsvc
net start certsvc

Дальше нас ждет процесс генерации запроса на получение сертификата в локальном центре сертификации.

Дальше переходим в центр администрирования Exchange 2013 и идем к сертификатам, нажимаем на «плюсик» и создаем запрос на сертификат. Все просто, но на всякий случай прокомментирую.

Задаем понятное имя запроса:

Групповой сертификат не нужен, пропускаем:

Сохраняем запрос на любом сервере. Если сервер у вас один, то и выбор очевиден.

Дальше идет достаточно ответственный момент и лучше бы все сделать правильно с первого раза. Если за первый раз не получится, ничего страшного, просто пройдете весь путь снова, за одно и руку набьете. Вообще Exchange достаточно умный и практически всегда сам правильно выставляет все необходимые ему имена. Однако если у вас несколько серверов, то их внутренние имена придется ввести вручную, что я и сделал.

Проверяем сводную информацию:

Если вы дошли до этого момента, то возня с запросом практически закончилась. На этом этапе вводим данные организации. Можно ввести что угодно, но пусть лучше там будет осмысленная информация, если вы делаете сертификат для своего работодателя.

Подтверждаем создание и на этом все, у нас есть запрос. Текст запроса будет нужен для получения сертификата, далеко не убираем. Вводим в браузере в адресную строку: http://CA/certsrv где CA — адрес вашего локального центра сертификации. Процесс получения сертификата тоже часто можно найти в очень подробном виде, но на всякий случай все же прокомментирую каждый шаг, лишним не будет.