» Проблемы с центром сертификации

Доброго времени суток!

Некогда в домене w2k3 подрядчиком был установлен корневой центр сертификации.
Пару дней назад он перестал запускаться т.к. его сертификаты стали просроченными.
Подскажите пжста, каким образом (и какие) сертификаты можно обновить?

Заранее благодарен!

Добавлено:
PS: Честно говоря, вообще не особо понимаю для каких целей его внедрили.
Лично я с его помощью только сертификаты для SSL генерил.

Infected Switch

Цитата:

Пару дней назад он перестал запускаться т.к. его сертификаты стали просроченными

Точно плиз сообщение из лога о причинах не запуска.

Все что было в логах на эту тему:

ID 20:
The currently selected KDC certificate was once valid, but now is invalid and no suitable replacement was found. Smartcard logon may not function correctly if this problem is not remedied. Have the system administrator check on the state of the domain's public key infrastructure. The chain status is in the error data.

ID 7022:
The Kerberos Key Distribution Center service hung on starting.

ID 7024:
The Certificate Services service terminated with service-specific error 2148204801 (0x800B0101).

ID 10016 (при попытки обновить ключи):
The application-specific permission settings do not grant Local Launch permission for the COM Server application with CLSID
{D99E6E74-FC88-11D0-B498-00A0C90312F3}
to the user Domain\Admin SID (S-1-5-21-1327220175-2602787919-139390015-1640). This security permission can be modified using the Component Services administrative tool.

ID 100 (по ходу дела это основное):
Certificate Services did not start: Could not load or verify the current CA certificate. Casrv0 A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495).

ID 11:
Failed extract of third-party root list from auto update cab at: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> with error: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.

ID 58:
A certificate in the chain for CA certificate 4 for Casrv0 has expired. A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. 0x800b0101 (-2146762495).

ID 8:
Failed auto update retrieval of third-party root list sequence number from: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> with error: A connection with the server could not be established

Время на CA не слетело?
http://support.microsoft.com/kb/939088
http://technet2.microsoft.com/windowsserver/en/library/f9f398e1-c78c-41fc-8dff-2412fdae6ab71033.mspx?mfr=true

Оказывается все довольно просто обновляется:
http://technet2.microsoft.com/windowsserver/en/library/780bd491-dba9-4760-8b77-30c2d88e40441033.mspx?mfr=true

Появился сертификат с актуальностью пол года. Можно как-то это время увеличить?

Добавлено:
G14 спасибо за ссылки!


Добавлено:
И можно ли автоматизировать процесс обновления корневого сертификата?

Добрый день!
Есть проблема с продлением сертификата подчинённого центра сертификации.
Наш домен был создан в 2007 году не мною (Windows 2003 R2). Где-то, в Москве, в офисе организации, в которой работал админ, создававший наш домен, был сгенерирован самоподписанный корневой сертификат для нашей организации (на 25 лет) и сертификат подчинённого центра сертификации (Enterprice) сроком на 5 лет.
Всё было прекрасно, пока я не стал получать сообщения о скором истечении срока сертификата нашего ЦС. Тот админ давно уволился, его преемники понятия не имеют, где находится тот корневой ЦС. У меня его точно нет.
Вопрос - насколько это серьёзно, если не удастся найти корневой ЦС и продлить сертификат нашего ЦС? Возможно ли у себя установить ещё один корневой ЦС, сгенерировать ещё один корневой сертификат и сертификат ЦС, и подсунуть его существующему ЦС?

Я общался с одним сисадмином, он сказал, что единственный выход - создать ещё один домен со своим сертификатом, на другом домен контроллере, и мигрировать туда всех юзеров. В общем, всё строить с нуля.
Нецжели всё так печально?

KTS
насколько ваша организация завязана на ЦС? для чего используются сертификаты?

Удалённый доступ к почте как через Web Access, так и через RPC.
Потом, машины автоматически енролят себе сертификаты, но основное - почта.

CA был выдан сертификат на Web Server, который используется в SSL Listener на ISA.

тогда проще поднять новый, а лучше попросить у руководства купить публичный ,для OWA

У меня схема с двумя домен-контроллерами. Один из них я разгрузил, раскидал шару на другой сервак, виртуалку - на третий, при его отключении офис работает, думаю, на него и ставить новую АД.
Вопрос: Нужно всё сносить и ставить заново: ось, драйвера, АД, ДНС и пр. требуху, или можно обойтись без переустановки?
Вот ещё подумал - у нас домен kiev.firma.int, лес firma.int находится в Москве. А если я создам на существующем DC ещё один домен, например, kyiv.firma.int в том же лесу, я смогу там сделать своц ЦС, выдать ему сертификат от нового корневого ЦС?
Или все-же нужно высаживать новый лес с новым доменом?
Связь с московским филиалом не нужна, уже 5 лет без неё обходились.

Спасибо за советы, я никогда не занимался разворачиванием АД, поэтому могу задавать тупые вопросы, не сердитесь!