У нас есть автономный корневой ЦС openssl с интегрированным в Windows 2008 R2 AD SubCA.
Корневой центр сертификации Openssl был опубликован в ldap CN=ROOTCANAME,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN
с помощью certutil -dspublish -f root.cer RootCA
Все работает нормально, кроме одного. Пока что появились два клиента (оба XP), которые не импортировали сертификат корневого центра сертификации в хранилище доверенных корневых центров сертификации предприятия.
На моей рабочей станции я получаю следующий результат:
C:\>certutil -store -enterprise root
402.203.0: 0x80070057 (WIN32: 87): ..CertCli Version
================ Certificate 0 ================
Serial Number: f818516373f917e8
Issuer: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE
Subject: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE
Signature matches Public Key
Root Certificate: Subject matches Issuer
Cert Hash(sha1): a6 ed 80 59 04 80 c7 1f 4e cb aa e1 8d e7 77 4a 2a 98 43 97
No key provider information
No stored keyset property
CertUtil: -store command completed successfully.
На рабочей станции, которая не импортирует сертификат корневого ЦС. Результат:
C:\>certutil -store -enterprise root
CertUtil: -store command completed successfully.
Даже после импорта сертификата вручную. Эта конкретная машина даже была присоединена к домену. Но безрезультатно.
Теперь вопросы:
«Я предпочитаю не использовать групповую политику для простого распространения ...»
Почему нет? Это именно то, для чего был разработан GP - распространять общие настройки / конфигурацию на ПК домена. Просто импортируйте корневой сертификат в GPO под Конфигурация компьютера> Политики> Параметры Windows> Параметры безопасности> Политики открытого ключа> Доверенные корневые центры сертификации
Несколько вещей, которые нужно проверить:
certmgr.msc
.HKLM\Software\Microsoft\Cryptography\AutoEnrollment\AEDirectoryCache
, затем повторно запустите автоматическую регистрацию с помощью certutil -pulse
.