Назад | Перейти на главную страницу

Продление сервисных сертификатов для NDES в Windows Server 2008 R2

В настоящее время мы используем службу NDES в Windows 2008 R2 Enterprise, где тот же ящик также является автономным центром сертификации.

Во время первоначальной настройки NDES создал 2 сертификата службы для SCEP на основе шаблонов CEPEncryption и EnrollmentAgentOffline.

Срок действия этих двух сертификатов SCEP истек, и мы изо всех сил пытаемся продлить / запросить новые.

Попытка обновить их с помощью привязки сертификатов MMC с тем же ключом (все задачи-> дополнительные операции-> обновить этот сертификат с тем же ключом) приводит к ошибке

«Не удается найти сервер политики регистрации»

Я попытался следовать инструкциям по следующему URL-адресу для обновления сертификатов служб, но они не кажутся правильными для нашего сценария (вероятно, автономный ЦС).

http://social.technet.microsoft.com/wiki/contents/articles/9063.network-device-enrollment-service-ndes-in-active-directory-certificate-services-ad-cs.aspx#Renewing_Service_Certificates

В частности, шаги 10,11 начинают отклоняться

  1. Щелкните правой кнопкой мыши, выберите "Все задачи" и нажмите "Выбрать новые сертификаты". (У меня нет опции «Выбрать новые сертификаты»).
  2. В диалоговом окне «Регистрация сертификата» нажмите «Далее». (по всем задачам обновления / запроса, которые я выбираю, я получаю указанную выше ошибку)

Может ли кто-нибудь помочь мне с ошибкой и рассказать, как обновить эти сертификаты службы в этом сценарии?

оказывается, что проблема была вызвана сценарием автономного центра сертификации. Процесс обновления и запроса сертификата, встроенный в графический интерфейс MMC сертификата, требует наличия веб-сервера политики (который не может работать в автономном ЦС, поскольку для его установки требуются разрешения домена).

В результате вам необходимо вручную удалить, запросить и принять новые сертификаты. Нашел сообщение в блоге, в котором подробно описаны инструкции, как сделать это вручную с помощью certutil.

http://blogs.technet.com/b/askds/archive/2008/04/28/configuring-network-device-enrollment-service-for-windows-server-2008-with-custom-certificates.aspx

Я только что столкнулся с той же проблемой. Я предполагаю, что «Выбрать новые сертификаты» - это ошибка в статье TechNet, на которую вы ссылаетесь, и здесь следует читать «Запрос Новые сертификаты ». В любом случае инструкции не работают для автономного центра сертификации.

Вместо того, чтобы пытаться обновить сертификаты вручную, я решил проблему, удалив службу NDES из роли служб сертификации Active Directory и повторно добавив службу NDES, таким образом создав два новых сертификата.

Это не идеально, потому что для завершения удаления службы NDES требуется одна перезагрузка сервера, но желаемый результат достигается с минимальными усилиями.