» Установка и настройка СА + eToken

Цитата:

Event Type: Error
Event Source: AutoEnrollment
Event Category: None
Event ID: 13
Date: date
Time: time
User: N/A
Computer: computer_name
Description: Automatic certificate enrollment for local system failed to enroll for one Domain Controller certificate (0x80070005). Access is denied. For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Решение было найдено в http://support.microsoft.com/kb/903220/en-us . Суть: в AD необходимо включить группу Domain Controllers в CERTSVC_DCOM_ACCESS , куда она по умолчанию не входит. Это справедливо для Srv2k3SP1.

Спасибо помог мучался с такой же проблемой.

Доброго времени суток, помогите разобраться.
Есть домен 2003, отдельный сервер сертификатов на базе Win2k3EE (root, enterprise). Настроены шаблоны для аутентификации по смарткартам (Aladdin eToken). Выдан сертификат на основе шаблона Smartcard User и записан на eToken, при попытке аутентификации с клиента (пробовал с Win2k3SE и WinXPSP2) выдает ошибку "The server authenticating you report an error 0xC00000BB". В логах появляется ошибка Kerberos ID 3 Error Code: 0xd KDC_ERR_BADOPTION
Микрософт по этому поводу говорит: KDC has no support for padata type и говорит, что необходимо проверить доступность СА с клиента и что сам СА функционирует.
PKI enterprise говорит что все в порядке, сертификат у контролера домена есть.

сертификат агента подачи заявок установил.
шаблоны опубликовал.

пытаюсь сделать запрос от имени другого пользователя
выдает
Выберите шаблон, в котором есть ЦС.

из шаблонов предлагает только "вход со смарт картой" и "пользователь со смарт картой"...
созданных мною шаблонов в упор не видит...

где копать?

Добавлено:

Цитата:

Експлорер пытаеться загрузить актив х и на этом зытыкаеться..... все настройки безопасности поотключал, актив икс разрешил на свой машине везде.....
Скажите что не так???
где то в политиках наверно???? только где???

я это решил выставив в эксплорере запуск ВСЕГО ЧТО ТОЛЬКО МОЖНО было выставить в положение "разрешить"

Текущий выбранный сертификат KDC был действителен, но сейчас он недействителен, а замену ему найти не удается. Вход со смарт-картой будет работать неправильно, если не устранить эту ошибку. Попросите системного администратора проверить состояние инфраструктуры открытого ключа домена. Состояние цепочки указано в данных ошибки.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

подскажите, плиз, что с этим делать?

День добрый. У меня аналогичная с bloodseller проблема.
Win 2003SP2 St Ed является контроллером домена на нем при утановке ЦС выбираю Корневой ЦС предприятия. Ставлю галочку в Изменить параметры создания пары ключей и сертификата ЦС. Жму Далее и выбираю eToken Base Cryptographic provider. Алгоритм хеширования SHA-1. Длина ключа 1024. Пишу имя ЦС. Далее eToken запрашивает ввод PIN-кода. После ввода PIN-кода мастер предлагает изменить пути к базе и логам — оставляю без изменения. Указываю общую папку в которую сохраняю сертификат.
В оснастке Центр Сертификации добавляю шаблоны Агента подачи заявок и Вход со смарт картой.
Далее лезу в Default Domain Policy -> конфигурация компьютера -> конфигурация Windows -> Параметры безопасности -> поитики открытого ключа.
В параметрах автоматической подачи заявок ставлю галочки во всех пунктах
В доверенные корневые центры сертификации импортирую сертификат из общей папки
В параметрах автоматического запроса сертификата нет ничего. Создаю параметр запроса — контроллер домена.
Делаю gpupdate /force.

Добавлено:
День добрый. У меня аналогичная с bloodseller проблема.
Win 2003SP2 St Ed является контроллером домена на нем при утановке ЦС выбираю Корневой ЦС предприятия. Ставлю галочку в Изменить параметры создания пары ключей и сертификата ЦС. Жму Далее и выбираю eToken Base Cryptographic provider. Алгоритм хеширования SHA-1. Длина ключа 1024. Пишу имя ЦС. Далее eToken запрашивает ввод PIN-кода. После ввода PIN-кода мастер предлагает изменить пути к базе и логам — оставляю без изменения. Указываю общую папку в которую сохраняю сертификат.
В оснастке Центр Сертификации добавляю шаблоны Агента подачи заявок и Вход со смарт картой.
Далее лезу в Default Domain Policy -> конфигурация компьютера -> конфигурация Windows -> Параметры безопасности -> поитики открытого ключа.
В параметрах автоматической подачи заявок ставлю галочки во всех пунктах
В доверенные корневые центры сертификации импортирую сертификат из общей папки
В параметрах автоматического запроса сертификата нет ничего. Создаю параметр запроса — контроллер домена.
Делаю gpupdate /force.

Цитата:

shuroop

вопрос решился путем выполнения
Certutil -dcinfo deleteBad
и перезагрузкой КД.


теперь бьюсь над проблемой удаленного доступа (VPN) с использованием eToken...
сервер удаленного доступа - отдельная машина. как и КД - win2003ee.

три события в логах:
1. Поскольку нет сертификатов, настроенных для входящих клиентов с EAP-TLS, то пользователю "domain\user" отправлен сертификат по умолчанию. Перейдите к политике удаленного доступа и настройте расширенный протокол проверки подлинности (EAP).
2. Не удалось получить сертификат сервера удаленного доступа из-за следующей ошибки: Объект или свойство не найдено.
3. Пользователь "user@domain" подключился, но не прошел проверку подлинности на порте "VPN4-9". Связь была отключена.

насколько я понял - у сервера удаленного доступа нету соответствующего сертификата...
вопрос - как его получить...

классно у меня получается - сам вопрос задаю, сам отвечаю.
вот что значит правильно задать вопрос.

проблема решена выдачей сертификата по шаблону "компьютер" с правами автоподачи заявки прошедшим проверку терминальному серверу.
и прописыванием этого сертификата в службе терминалов.



Цитата:

теперь бьюсь над проблемой удаленного доступа (VPN) с использованием eToken...
сервер удаленного доступа - отдельная машина. как и КД - win2003ee.

три события в логах:
1. Поскольку нет сертификатов, настроенных для входящих клиентов с EAP-TLS, то пользователю "domain\user" отправлен сертификат по умолчанию. Перейдите к политике удаленного доступа и настройте расширенный протокол проверки подлинности (EAP).
2. Не удалось получить сертификат сервера удаленного доступа из-за следующей ошибки: Объект или свойство не найдено.
3. Пользователь "user@domain" подключился, но не прошел проверку подлинности на порте "VPN4-9". Связь была отключена.

насколько я понял - у сервера удаленного доступа нету соответствующего сертификата...

Граждане просветлившиеся, Будьте человеками! Напишите МАН хотябы краткий. Не нашел толком ничего полезного для win2k8. Видимо совсем другое дело. ПО офф доке делал( ну вроде как смог), но не работает . При вставлении смарт карты на клиенте получаю отвал( Действительные сертификаты не найдены).
куда копать?

То есть сам сертификат система видит. Не видит действительного/действующего? Если это так предположу:
1. Срок действия сертификата не начался/закончился.
2. Не верно выбран шаблон для создания сертификата

Очень может быть пункт 2.
Какже верно выбрать шаблон?
Поискав по теме не радужные переспективы светят. Как автоматизировать или привести к красивому виду эти самые расширенные запросы?
Как получить сертификат агента выдачи?
Хотелось бы уточнить, что машина с которой пытаюсь произвести вход, не в домене, но сертификат CA добавлен в список доверненных издателей

Ребята, тщательнее надо! Более трех лет пользую этот сервис, до сих пор ни каких проблем не было

http://system-administrators.info/?p=1967 - здесь про 2003, но принципы не изменились
Вот ещё не плохая статья, первую часть полагаю сможешь сам найти
http://sa.it-e.ru/content/2008/samag_10_71/samag10(71)-60-64.pdf
http://sa.it-e.ru/content/2008/samag_11_72/samag11(72)-66-69.pdf
Или сам поищи по запросу "Установка цепочки CA"

Спасибо за линки
разобрался с проблемой( нашел искомое). IE отлично показывает все шаблоны, а вот в FireFox, просто нет таких пунктов вот как это выглядит.

Доброй ночи.
Решил свой вопрос задать в этой теме
Сейчас внедряем у себя MS CA + Aladdin TMS
Будут использоваться ключи eToken Pro
Тут возникает проблема: часть ключей будет выпускаться для удалённого офиса.
Каким образом можно ресертифицировать эти ключи не прибегая к пересылке ключей по почте?
Есть ли такой опыт?
Можно ли по RDP или через программы типа Radmin удалённо обновить eToken?
Буду признателен за ответ.

sancher А в чем проблема? Ключи нормально генерятся и устанавливаются на eToken с помощью веб-интерфейса MS CA.

Спасибо за ответ, vlary
Да, про возможность генерации через веб-интерфейс я знаю.
Но тут есть пара моментов.
В удалённых офисах не будет специалистов, которые смогут выполнить эту операцию.
Отдавать эту работу на откуп менеджерам - тоже не решение.
Мне видится вариант использования веб-интерфейса на компьютере в удалённом офисе, в который менеджер вставляет свой eToken, а администратор удалённо подключается и заходит на веб-интерфейс с этого компьютера после чего пересоздаёт ключ.
Но может есть более изящные решения?

sancher
Цитата:

Но может есть более изящные решения?

Да уж куда изящнее столь перректального решения!
Ну если все столь запущено, то единственный вариант - ставить Радмин или VNC (а их кто будет ставить?), и делать все (установку драйверов токена, сертификата СА в корневую папку, генерацию запроса и установку сертификата через ремоут десктоп.
Или эротическое путешествие спеца из центра по удаленным офисам. Кстати, ведь и токены как-то физически передать надо, их электронной почтой не отправишь.

Протокол RDP использовать не получится. Аладиновские драйвера в терминальной сессии не работают. То есть доступа к аладиновскому eToken не будет. Система его даже не увидит. Проблем с удаленной установкой VNC или RAdmin нет, но очень подозреваю, что результат будет тот же.
Я так понимаю службы СБ нет, поэтому, как вариант, хорошая инструкция и активация прав на выдачу сертификата кому-то из сотрудников удаленных офисов (руководитель, чем не кандидат?), на время этой процедуры.

N0n4me
Цитата:

Аладиновские драйвера в терминальной сессии не работают.

Еще как работают. Например, Secret Disk с использованием eToken с сертификатом администратора и лицензией прекрасно виден на клиентской машине в терминальной сессии, если дрова установлены и галочка проброса смарт-карт включена в настройках. А VNC или RAdmin гонят экран удаленной машины, и если там токен установлен, то к нему должен быть нормальный доступ.

Да, eToken подключенный к системе, в которую вы залогинились консольно будет работать и на удаленной системе, к которой вы подключаетесь посредством протокола RDP. Только попытайтесь понять, что речь идет об УДАЛЕННОМ обновлении сертификатов. То есть eToken будет подключен, к УДАЛЕННОЙ системе. А eToken подключённый к системе, к которой вы подключаетесь посредством протокола RDP, виден не будет. Да и удаленная установка драйвера аладиновского ключа задача нетривиальная.

Цитата:

А VNC или RAdmin гонят экран удаленной машины

Эко как все просто. Вы это разработчикам только не говорите. А то смеху будет...
В общем инструкция пока в силе .