Active Directory Certificate Services

«Например соединение с удаленным рабочим столом отклоняется, выдавая ошибку:
Не удалось проверить, не был ли отозван этот сертификат.»

Игорь, добрый день!
Получаю именно такую ошибку, хотя, как мне кажется, настроил все верно, не могли бы помочь разобраться в данной проблеме?
Могу прислать скриншот, где четко видно, как все настроено, но не знаю, куда именно надо слать.
Заранее признателен за содействие.

1. Зайди на комп, при подключении к которому есть проблемы, в оснастке сертификатов компьютера экспортируй сертификат, используемый для RDP в файл (без закррытого ключа).

2. Скинь этот сертификат на комп, при подключении с которого выдается ошибка проверки сертификатов.

Выполни certutil -url name.cer

Должна пройти проверка отзыва сертификата, либо по CRL, либо по OCSP.

Попробую, конечно, но проделать данную операцию на 150 пользователях нереально, хотелось бы, чтобы эти вещи отрабатывали автоматически, тем более, что для этого вроде все настроено, нужно разобраться в причинах, почему именно не отрабатывает проверка отзыва, а принудительно — это уже крайний случай…

Один раз попробовать проверить принудительно в контролируемой среде, чтобы найти и устранить причину. Про всех юзеров я и не говорил ;)

C:\Users\administrator>certutil -url c:\ts.cer
CertUtil: -URL — команда успешно выполнена.

Проверено базовый CRL бла-бла-бла

А это смотрел? Раньше на эту инструкцию технет ссылался в шагах по установке ЦА, сейчас пришлось отдельно поискать.

все именно так и есть

requestFiltering allowDoubleEscaping=»true»

Даж теряюсь, что еще предложить. Начнем с простого.

1. Проверить, что сертификат на терминале действительно доверен клиентским компьютеором, вся цепочка от сертификата до Root CA. Причем доверие должно быть не на уровне хранилища пользователя, а на уровне компьютера.

2. Если есть машины, при доступе с которых не возникает этой проблемы, то сравнить конфиги с больными.

3. Если еще не стоит, попробовать развернуть Online Responder. Правда при этом нужно сертификаты перевыпускать, чтоб они содержали инфу о нём.

мы можем общаться по почте, а не на страницах сайта? в строке e-mail я всегда публикую свой адрес…

Конечно можем, но я считаю, что публичное обсуждение может быть полезно и другим читателям.

Статья написана больше года назад, если бы она была кому-то интересна, ее бы давно обсуждали, но это никому не интересно, кроме меня, потому что у меня реальная необходимость, а здесь я не могу даже скриншоты выложить…если это возможно, хотелось бы оперативного общения, иначе мы эту кашу будем жевать еще год…
Удалось проверить только с двух разных машин, на вин7 вываливается с ошибкой, на ХР работает без ошибок, доверие на уровне компьютера и там, и там.
Какие конфиги я должен сравнить? Может, ХР вовсе и не проверяет отзыв сертификатов?

• XP действительно не проверяет CRL при подключении по RDP.
• Скриншоты можно выложить на каком-нибудь image-хостинге типа imageshack.us, а сюда копипастить ссылки.
• По поводу интересности статьи и количества комментов — не самый весомый показатель. Лично я читаю море интересный статей, но комменты оставляю дай бог к одной из 300.

Теперь по делу, можно выложить скрины свойств сертификатов, либо сами сертификаты. Если беспокоишься о конфиденциальности, то можно ссылки скинуть мне в форму обратной связи.

отправил ссылку на архив со скринами в форму обратной связи

Посмотрел. А если нажать на «просмотреть сертификат» в окне с предупреждением, выдает все тот же серт? Если его…

1. Сохранить на комп и проверить на валидность с помощью certutil.
2. Сохранить на комп и импортировать в хранилище «доверенные ЦC» компа, just for fun

Если в результате этих действий ничего нового не обнаружится, то присылай полные сертификаты, без приватных ключей, ессно.

«А если нажать на «просмотреть сертификат» в окне с предупреждением, выдает все тот же серт?»
Так он там же на картинке справа и показан.
«Сохранить на комп и проверить на валидность с помощью certutil.»
Сертификат валиден.
«Сохранить на комп и импортировать в хранилище «доверенные ЦC» компа, just for fun»
Ну и живет он там себе преспокойненько…
Вобщем ничего нового.

Что тут могу еще осоветовать…
1. Почистить хранилища компа/юзера от дублей сертификатов, который могут находится в разных категориях
2. Поставить радом второй Ent CA, можно подчиненный. И посмотреть, что будет.
3. Все-таки показать мне живые сертификаты.

Ну и лихи е пути…
4. Отключить в GPO проверку CRL для RDP
5. Через GPO установить на клиентские компы самоподписанные сертификаты TS в качестве доверенных.

«Все-таки показать мне живые сертификаты.»
Рутовый и RDP-шный?

отправил ссылку на архив с сертификатами в форму обратной связи

1. Меня смущает то, что в CRL/AIA сертификата на TS идет указание IP-адреса. Ни разу так не делал. Настоятельно рекомендую публиковать CRL/AIA по DNS-имени.

2. Также, проверить, что обращение к этому IP/DNS не идёт через прокси-сервер.

3. Если ЦС у тебя на винде, интегрированный с AD, то его нужно настроить на публикацию CRL/AIA в AD. Обычно так настроено по умолчанию.

1) попробую, конечно, но меня в IP-адресе, честно говоря, вообще ничего не смущает, по большому счету, должно работать еще лучше, чем по DNS :)
2) никаких прокси, все напрямую!
3) ну, собственно говоря, все действительно построено на 2008R2, но зачем абсолютно внешнему клиенту с улицы нужна публикация CRL/AIA в AD, если он все равно проверку должен осуществлять по http ?

Мда…а ведь ты оказался прав, причиной всей нашей полемики было не что иное, как использование в адресес списка отзыва IP. Ну не понимает этого тупая система проверки, хотя из браузера все нормально открывается, и все изначально было настроено вполне корректно. Совсем не понятны такие жесткие требования, ведь по IP гораздо проще проверить список отзыва, не привлекая к этому процессу разрешение имен. Ну да ладно, придется принять это как данность, от которой никуда не денешься, просто нужно взять на заметку.
Спасибо за помощь!!!

Отлично, что все разрешилось! И мне польза будет, теперь точно буду знать о вреде IP-адресов в CRL, а не гадать.

Прочитал и опять меня зацепило — решил прокомментировать:) …

«При установке ЦС в домене Active Directory по умолчанию должны создаваться групповые политики, которые прописывают доверие клиентов к корневому ЦС»

Во-первых — зачем заморачиваться созданием политик, когда можно просто опубликовать сертификат в AD командой «certutil -dspublish -f FileName.cer RootCA» и именно при обновлении тех самых политик этот сертификат автоматически скачается и установится в доверенные?
Во-вторых — при разворачивании «Enterprise CA» (с правами Enterprise Admin) сертификат публикуется в AD автоматически и ни каких телодвижений предпринимать не нужно ;) .

«но отозваны ли они центром сертификации»

Видимо, имеет место опечатка и имелось в виду «не».

«CRL (Certificate Revocation List, список отзыва сертификатов) на веб-сервере, регулярно обновляемый»

Лично я настраиваю центры сертификации на публикацию CRL’ей в DFS (с репликацией, в случае необходимости), откуда они спокойно раздаются IIS’ом — ни каких «регулярных обновлений» не нужно — всё автоматом. Пример такой настройки я показывал здесь.

«От себя лишь замечу хитрость: если ваш домен имеет доступное из интернета DNS-имя (то есть argon.com.ru, а не argon.local), а на сервер с корневым ЦС установлена опция Web Enrollment, то ЦС уже настроен на публикацию своих CRL по адресу http://server.argon.com.ru/CertEnroll. Поэтому для полноценной работы CRL достаточно просто опубликовать в интернете порт HTTP по доменному имени server.argon.com.ru.»

Ну а в чём сложность сделать то же самое, когда внешнее доменное имя отличается от внутреннего? Обеспечение «прозрачности» доменного суффикса, с моей подачи, описаны здесь.

«Следует иметь ввиду, что проверка отзыва по протоколу OCSP проходит успешно только в том случае, если сертификат ЦС, выдавшего проверяемый сертификат, установлен в хранилище доверенных сертификатов локального компьютера»

Я бы ещё хотел добавить, что успешная проверка по OCSP пройдёт только в том случае, когда сам OCSP-сервер имеет доступ к CRL-файлам — именно оттуда он берёт информацию, избавляя клиента от их скачивания ;) .

«Они же Certificate Enrollment Web Services, если по-английски. Весьма полезная роль»

А я бы сказал, что роль бесполезная и лично я от её использования давно отказался. Поданс, кстати, с этим мнением солидарен (тут и тут) :) .

«По умолчанию ЦС на Windows Server не настроен на выдачу сертификатов, содержащих SAN.»

Всеобщее заблуждение ;) ! Центры сертификации прекрасно выдают SAN-сертификаты и без включения данной опции — когда-то Вадим мне «не верил», но по предыдущей ссылке сам признался в своём заблуждении и вредности данного флага.

«Компьютер, с которого создается запрос, должен входить в домен, в котором опубликован ЦС»

Совершенно не обязательно ;) .

«Более гибким и универсальным способом запроса сертификатов с SAN является следующий, использующий утилиту certreq.»

На счёт универсального не поспоришь, а вот на счёт гибкости полностью не согласен :) ! На мой взгляд, самый гибкий — запрос через MMC-консоль в новых системах. И просто и удобно и наглядно и без создания файлов с кучей параметров, которые в голове не удержишь и нужно обращаться к заранее заготовленным шаблонам.

«Отправить запрос центру сертификации и получить в ответ .cer файл. Для этого можно воспользоваться MMC-конcолью управления Certification Authority (и указать .req файл) либо Web Enrollment (в окно расширенного запроса вставить содержимое .req файла и выбрать шаблон веб-сервера).»

Я предпочитаю, в случае необходимости, отправлять запрос командой «certreq -Submit -attrib «certificatetemplate:WebServer» Request.req Response.cer».

«Если ЦС у тебя на винде, интегрированный с AD, то его нужно настроить на публикацию CRL/AIA в AD»

Тоже большое заблуждение ;) . Эти ссылки в интернет-сценариях только мешают и наилучшим вариантом является их полное «выпиливание» из сертификатов — оставить только публичные HTTP-ссылки.

Stanky, спасибо за комменты! Когда-нибудь руки дойдут допилить эту статью. Я тоже со временем развиваюсь, во многом с тобой согласен.

— Компьютер, с которого создается запрос, должен входить в домен, в котором опубликован ЦС
— Совершенно не обязательно ;) .

Можешь научить, как это сделать не с доменного компа?

Использовать XCEP/WSTEP.

P. S. Ещё раз хочу упомянуть, что подписки на комментарии тут очень не хватает — в их потоке я предыдущий «проморгал» ;) .

Спасибо, восполню этот пробел в знаниях ;)

Запрос сертификатов с локальной доменной станции с использование утилиты certreq. Генерируем сертификат пользователя на рабочей станции Win7.Сертификат рабочий (подпись есть), можно шифровать документы и просматривать зашифрованные документы. Генерируем сертификат пользователя на рабочей станции WinXP. Сертификат рабочий (подпись есть), но просматривать зашифрованные документы невозможно. В чем может быть причина?