← Вернуться в раздел «В помощь системному администратору»

» Установка и настройка СА + eToken

Автор: RustKill
Дата сообщения: 06.04.2005 14:46

Поставил сервер сертификатов CA (выбрал при установки корневым сервером) на w2003server (установленную как standalone и введенная в домен). Настроил для работы с eToken'ами. Сгенерил ключ на токен. Пытаюсь войти с токена, пишет сообщение об ошибки при проверки учетных данных.

Полазил в остнастке сертификатов. Выясняется что сертификат проверяется на контроллере домена на котором раньше был установлен CA. Теперь его там нет, контроллер домена на нем опущен и сервер не единожды был переставлен.

Неужели обязательно CA поднимать на контроллере домена чтобы токены работали при входе в сеть?

Автор: FreemanRU
Дата сообщения: 06.04.2005 16:08

1. Надо добавить твой сервер как основной в домене
Default Domain Policy->Computer->Windows Settings->Securyti Settings->Public Key Policy->Trusted Root Certification Authorities

Добавлено:
Вот я когда-то статью писал по eToken-у

Цитата:

После установки IIS необходима установить CA (Certification Authority). CA устанавливаем в режиме root enterprise CA, что позволяет использовать его в качестве сервера сертификации в AD. Также желательно создать общую папку для хранения корневого сертификата данного CA. Администрирование CA проводится с помощью оснастки Administrative Tools -> Certification Authority. Необходимо добавить в шаблоны сертификатов (Certificate templates) несколько шаблонов (остальные необходимые добавлены автоматически):

1. Smartcard User (пользователь со смарт-картой) – собственно для выдачи этого сертификата.
2. Enrollment Agent (агент запросов) – выдается пользователю, который будет иметь право выдавать сертификаты другим пользователям через web-интерфейс. Такой же шаблон есть и для компьютера, соответственно все администраторы этого компьютера смогут выдавать сертификаты
3. Exchange User – необходим, если нужно также защищать почтовую переписку.
Далее необходимо провести настройку AD. В Default Domain Policy необходимо указать доверенный центр сертификации:

Автор: RustKill
Дата сообщения: 07.04.2005 09:02

у нас Windows 2003 домен.
в Default Domain Policy->Computer->Windows Settings->Securyti Settings->Public Key Policy->Trusted Root Certification Authorities можно только импортировать сертификат сервера CA а не указать на него напрямую.

Умпортнул туда ключ от поставленного CA (при установки CA ставил галочку на расшаривание папки с настройками, их и импортил). Переиздал себе сертификат на вход в сеть на всякий случай.

При входе в сеть при помощи токена пишет что обноружен не имеющий доверия центр сертификации. И соответственно не пустил в систему.

Что делать?

Автор: FreemanRU
Дата сообщения: 07.04.2005 10:20

Цитата:

После установки IIS необходима установить CA (Certification Authority). CA устанавливаем в режиме root enterprise CA, что позволяет использовать его в качестве сервера сертификации в AD. Также желательно создать общую папку для хранения корневого сертификата данного CA. Администрирование CA проводится с помощью оснастки Administrative Tools -> Certification Authority. Необходимо добавить в шаблоны сертификатов (Certificate templates) несколько шаблонов (остальные необходимые добавлены автоматически):

1. Smartcard User (пользователь со смарт-картой) – собственно для выдачи этого сертификата.
2. Enrollment Agent (агент запросов) – выдается пользователю, который будет иметь право выдавать сертификаты другим пользователям через web-интерфейс. Такой же шаблон есть и для компьютера, соответственно все администраторы этого компьютера смогут выдавать сертификаты
3. Exchange User – необходим, если нужно также защищать почтовую переписку.
Далее необходимо провести настройку AD.
В Default Domain Policy необходимо указать доверенный центр сертификации

Делается этого импортирование сертификата CA из общей папки, созданной на этапе установки CA. Если такая папка не была создана, то нужно заранее экспортировать этот сертификат из CA в файл. После этого надо из «параметров автоматического запроса сертификатов» убрать все запросы, кроме «контроллер домена»

Затем нужно настроить автоматическую подачу заявок, установив в автоматический режим и отметив все галочки.

Осталось только обновить политику безопасности на котроллерах домена и настройка AD будет закончена.

Автор: RustKill
Дата сообщения: 07.04.2005 11:19

В "параметрах автоматического запроса сертификатов" ничего не было, добавил контроллер домена. Теперь пишет следующее:
The client has failed to validate the Domain Controller certificate for controller_domena.mydomen.ru. The error data contains the information returned from the certificate validation process. Contact your system administrator to determine why the Domain Controller certificate is invalid.

Автор: FreemanRU
Дата сообщения: 07.04.2005 11:24

Цитата:

The error data contains the information returned from the certificate validation process

И что в error data написано?

Автор: RustKill
Дата сообщения: 07.04.2005 11:31

Источник ошибки; Kerberos
Событие: 9

Во вкладке Безопасность:

Отказ входа в систему:
Причина: Ошибка при входе
Пользователь: user@mydomen.ru
Домен:
Тип входа: 7
Процесс входа: User32
Пакет проверки: Kerberos
Рабочая станция: KOMP-WS Код состояния: 0xC000006D
Код подсостояния 0xC0000320

Автор: FreemanRU
Дата сообщения: 07.04.2005 11:50

Цитата:

Код состояния: 0xC000006D

Table 3 Netlogon Log Error Codes
The attempted logon is invalid due to a bad user name

Проверь с службе сертификатов, что у тебя DC получили сертификат.

Автор: RustKill
Дата сообщения: 07.04.2005 11:55

сертификат выдан вроде бы правильно, юзер нормально работает

Щас сижу ковыряю утилитой dsstore
В домене зарегестрировано 3 CA. Первый и второй когда то были, но их щас нет. Третий новый, который я недавно поднял. Неужели он пробует провериться на первом и дальше не идет? Все три висят на моем домене.

Добавлено:
В службе сертификатов нет выданного сертификата на контроллер домена.

Автор: FreemanRU
Дата сообщения: 07.04.2005 13:13

Цитата:

В службе сертификатов нет выданного сертификата на контроллер домена

Значит еще не запросил. Ты gpupdate делал на DC?

Автор: RustKill
Дата сообщения: 07.04.2005 13:16

делал. Сначала на контроллере gpupdate /force
а потом и на CA gpupdate

Добавлено:
Заметил что в "параметрах автоматического запроса сертификатов" добавленный мною параметр "контроллер домена" перечеркнут красной линией. Это нормально?

И еще, после того така почистил AD на предмет мертвых CA в логах сервера CA появилась запись:
Службы сертификации не смогли опубликовать сертификат для запроса 8 в следующем месте на сервере controller_domena.mydomen.ru: CN=Фамилия И.О.,OU=Users,OU=Admins,OU=Accounts,DC=mydomain,DC=ru. Для выполнения операции права недостаточны. 0x80072098 (WIN32: 8344).
ldap: 0x32: 00002098: SecErr: DSID-031509EE, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

Добавлено:
Посмотрел в AD, сервер CA находится в группе Cert Publishers

Не понимаю почему он не может опубликовать сертификат в AD

Добавлено:
кажится у Microsoft'а есть описание по этому поводу: http://support.microsoft.com/default.aspx?scid=kb;en-us;219059

только я ничего не понял.

Автор: FreemanRU
Дата сообщения: 07.04.2005 14:46

Цитата:

Заметил что в "параметрах автоматического запроса сертификатов" добавленный мною параметр "контроллер домена" перечеркнут красной линией. Это нормально?

да.

А в свойствах Default Domain Policy->Computer->Windows Settings->Securyti Settings->Public Key Policy->Trusted Root Certification Authorities у тебя чего?

PS Смотри логи на DC, CA и клиенте.

Автор: RustKill
Дата сообщения: 07.04.2005 15:09

в Trusted Root Certification Authorities поставил руками сертификат от CA (который в расшаренной папке создается при инсталяции CA)

Автор: RustKill
Дата сообщения: 08.04.2005 06:14

прошла ночь и сертификаты выдались контроллерам домена. eToken'ы заработали

)
FreemanRU спасибо за помощь!

Автор: magicplus
Дата сообщения: 28.02.2006 16:26

Подскажите, пожалуйста, где настроить автоматическую подачу заявок, установить в автоматический режим?

Автор: Master_Alex
Дата сообщения: 14.03.2006 10:41

magicplus
авто подачу заявок чего? Компьютеры, контроллеры, IPSec - в политике

Автор: magicplus
Дата сообщения: 14.03.2006 18:57

Спасибо, уже разобрались, контроллеры не могли получить сертиыикат, теперь все Ok!

Автор: karpych
Дата сообщения: 24.03.2006 16:39

Наступил еще на такие грабли: контроллер домена, несмотря на все вышеописаные рецепты, не мог получить сертификат. Сообщение об ошибке:

Event Type: Error
Event Source: AutoEnrollment
Event Category: None
Event ID: 13
Date: date
Time: time
User: N/A
Computer: computer_name
Description: Automatic certificate enrollment for local system failed to enroll for one Domain Controller certificate (0x80070005). Access is denied. For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Решение было найдено в http://support.microsoft.com/kb/903220/en-us . Суть: в AD необходимо включить группу Domain Controllers в CERTSVC_DCOM_ACCESS , куда она по умолчанию не входит. Это справедливо для Srv2k3SP1.

Вопрос: если центр сертификации установлен на контроллере домена, то должен ли выдаваться сертификат для того контроллера, на котором эта служба запущена? У меня такой сертификат не сформировался.

Автор: CybB
Дата сообщения: 21.04.2006 08:43

Привет всем!

Подскажите. Есть два контролера домена W2k3 SP1. На одном из них настроен центр сертификации. Призапросе сертификата со второго контроллера получаю ошибку:
ЦС не доступен или у вас нет разрешения на запрос сертификатов с доступных ЦС.

Похоже что проблемы с разрешением, т.к. сертификат для пользователя с этой машины выдается.

Подскажите где права подправить?

Автор: PJ16rus
Дата сообщения: 02.05.2006 10:49

Права подправить в оснастке Certification Authority, там, где стоит СА. В папке Certificate Templates на каждом темплейте, который будешь выдавать правой кнопкой - секьюрити, и дай себе права на read,enroll.
Остальное, думаю сделал? Имеется ввиду: опубликовал необходимые для выдачи темплейты, выдал себе сертификат Enrollment agent и установил его на машине, откуда выдавать будешь.

Автор: weekstart
Дата сообщения: 24.07.2006 16:12

FreemanRU

Цитата:

Вот я когда-то статью писал по eToken-у

Можно поинтересоваться местонахождением этой статьи?
Да и вопросов накопилось довольно много при установке eToken на CA под WIN2000...

Автор: FreemanRU
Дата сообщения: 24.07.2006 16:21

weekstart
А собственно в чем вопрос?

Автор: Keponom
Дата сообщения: 23.08.2006 14:34

PJ16rus
а можно по подробнее про

Цитата:

Остальное, думаю сделал? Имеется ввиду: опубликовал необходимые для выдачи темплейты, выдал себе сертификат Enrollment agent и установил его на машине, откуда выдавать будешь.

проблема аналогичная как и у CybB

Автор: dark201
Дата сообщения: 28.09.2006 13:50

Проблема со входом в домен по Etoken. Сервер W2K3 EE он контроллер домена, он же корневой центр сертификации. Шаблоны установлены, рекомендации выше по ветке выполнил, сертификаты в ЦС выданы, не выдан сертификат контроллера домена, во вкладке Безопасность, у него нет AutoEnroll, выдан сертификат подлинности контроллера домена. Сертификат на Etoken сгенерен, при входе не пускает "ошибка проверки учетных данных". Где копать?

Автор: windofchange
Дата сообщения: 30.01.2007 16:11

"Ошибка 691: Доступ запрещен, поскольку такие имя пользователя и пароль недопустимы в этом домене."
Windows 2003 AD+CA
Windows 2003 VPN
XP клиент
Без использование смарт карты все ок конечно...
(внутри сети смарт карта работает)

Да и возможно с ISA подружить?

Автор: chromexxx
Дата сообщения: 08.02.2007 17:11

Не могу настроить вход по etoken для пользователей. С помощью "Request a certificate for a smart card on behalf of another user by using the smart card certificate enrollment station."
Выдаю сертификат от администратора пользователю. Он нормально записывается на ключ.
Но при попытке входа в домен получаю "your credentials could not be verified"

Причем на контроллер домена вход осуществляется нормально.
Система win2003 sp1 enterpise

Автор: Valentyng
Дата сообщения: 30.03.2007 08:09

Freeeman ссылочку на статью кинь............ замучился сертификаты переделывать, а проблема все таже..... у контролера домена левый сертификат......... невозможно проверить данные.

Добавлено:
переставил СА, поудалял все старые сертификаты, поудалял все локально, и завел все снова, все заработало...... теперь такой баг - при попытке сделать юзеру сертификат используя себя как агента, (сертификат создал)
дохожу в експлорере до форм создания кеев юзерам.
Експлорер пытаеться загрузить актив х и на этом зытыкаеться..... все настройки безопасности поотключал, актив икс разрешил на свой машине везде.....
Скажите что не так???
где то в политиках наверно???? только где???

Добавлено:
проще говоря не устанавливаеться элемент Microsoft® ActiveX.....

Автор: Valentyng
Дата сообщения: 30.03.2007 14:38

Решил перестановкой СА, причем файлы при установке выбирал не из дефолтовой папки из папки от 4пака.... вроде пашет )))

Автор: vmix
Дата сообщения: 06.04.2007 18:51

FreemanRU

Очень хотелось почитать Вашу статью, дайте ссылку, плз!

Автор: windofchange
Дата сообщения: 17.05.2007 11:41

Блин, HELP! все работало, все было хорошо, отключили электричество, время на UPS не хватило, все сервера отключились, запустились, теперь не входят по eToken пишет "не разрешен вход в систему. не удаеться проверить учетные данные." вроде все нормик, по паролю все ок, не могу понять в чем делло =\

Страницы: 1 2

Предыдущая тема: Есть права админа. Как разрешить запуск gpedit.msc?

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.