Назад | Перейти на главную страницу

Как отладить отсутствующий сертификат корневого центра сертификации предприятия?

У нас есть автономный корневой ЦС openssl с интегрированным в Windows 2008 R2 AD SubCA.

Корневой центр сертификации Openssl был опубликован в ldap CN=ROOTCANAME,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN с помощью certutil -dspublish -f root.cer RootCA

Все работает нормально, кроме одного. Пока что появились два клиента (оба XP), которые не импортировали сертификат корневого центра сертификации в хранилище доверенных корневых центров сертификации предприятия.

На моей рабочей станции я получаю следующий результат:

C:\>certutil -store -enterprise root
402.203.0: 0x80070057 (WIN32: 87): ..CertCli Version
================ Certificate 0 ================
Serial Number: f818516373f917e8
Issuer: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE
Subject: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE
Signature matches Public Key
Root Certificate: Subject matches Issuer
Cert Hash(sha1): a6 ed 80 59 04 80 c7 1f 4e cb aa e1 8d e7 77 4a 2a 98 43 97
No key provider information
No stored keyset property
CertUtil: -store command completed successfully.

На рабочей станции, которая не импортирует сертификат корневого ЦС. Результат:

C:\>certutil -store -enterprise root
CertUtil: -store command completed successfully.

Даже после импорта сертификата вручную. Эта конкретная машина даже была присоединена к домену. Но безрезультатно.

Теперь вопросы:

«Я предпочитаю не использовать групповую политику для простого распространения ...»

Почему нет? Это именно то, для чего был разработан GP - распространять общие настройки / конфигурацию на ПК домена. Просто импортируйте корневой сертификат в GPO под Конфигурация компьютера> Политики> Параметры Windows> Параметры безопасности> Политики открытого ключа> Доверенные корневые центры сертификации

Несколько вещей, которые нужно проверить:

  • На этом клиенте отключена автоматическая регистрация сертификатов? Отсутствие автоматической регистрации объясняет отсутствие импорта.
  • Находится ли сертификат в хранилище доверенных корней, а не в корпоративном доверенном контейнере из-за ручного импорта? Проверьте хранилище доверенных корней для учетной записи компьютера в certmgr.msc.
  • Может быть, он был импортирован, а затем удален по какой-то причине? Если он думает, что он был импортирован, он больше не импортирует; очистить подключи под HKLM\Software\Microsoft\Cryptography\AutoEnrollment\AEDirectoryCache, затем повторно запустите автоматическую регистрацию с помощью certutil -pulse.