[AlxCruel]

Pili,

Цитата:

идете в AD Site and Services-Sevices-Public Key Services-Certificate Templates - выбираете нужный шаблон -пр. кн. мыши properies - Request Handling - 2-я вкладка, ставите галки на CSP которые будут исп-ся с этим шаблоном, на вкладке Security той группе, которая будет подавать запросы ставите read и enroll (обычно это гр. Прошедшие проверку), на веб сервере ЦС авторизация пользователей из домена у вас должна быть настроена.

Поправил CSP, он действительно левый какой-то стоял. Безопасность тоже поправил, но что-то все по прежнему. А каков сам механизм получения сертификата для компьютера, может я что-то упускаю при запросе?

Подавать заявку поидее должен компьюр, насколько я понимаю из под учетки system, а к web-интерфейсу я имею доступ только как пользователь. Или я не прав?

[Pili]

AlxCruel, вот только что через оснастку сертификаты (local computer) проверил-получил сертификат на компьютер, всё прошло нормально. Имя шаблона - Machine. А на ЦС права смотрели для прошедших проверку? Попробуйте поставить автоматическую выдачу сертификатов по запросу и получить через оснастку.
Почему не хватает пользовательского сертификата, размещенного (скопированного) в хранилище local computer? Использование ключа то же: Digital Signature, Key Encipherment (a0), OID все равно тот же: Client Authentication (1.3.6.1.5.5.7.3.2) и только добавляется Server Authentication (1.3.6.1.5.5.7.3.1), алгоритм sha1RSA (CSP Microsoft RSA SChannel Cryptographic Provider), для шаблона User, кроме 1.3.6.1.5.5.7.3.2 ещё добавляются OID:Encrypting File System (1.3.6.1.4.1.311.10.3.4), Secure Email (1.3.6.1.5.5.7.3.4)
Почитайте здесь Запрос сертификатов компьютера для проверки подлинности сервера
у вас там будет то же самое, только для проверки подлинности компьютера
и здесь
Создание автоматического запроса сертификата для компьютеров в в объекте групповой политики
Автоматическая подача заявок на сертификаты в ОС Windows XP
Запрос сертификата для компьютера не в домене - TechNet Russia
Sysadmin's Union - Разворачивание цепочки центров сертификации на ...

[lumoder]

Доброго всем времени суток! Есть задача - хочу поднять в сети Центр Сертификации на Win2003. В сети (домен) уже есть Центр Сертификации Win2000. Как лучше поступить - похерить 2000-ый и поставить на 2003? Или можно иметь в сети 2 независимых ЦС? Или лучше сделать новый 2003 подчиненным 2000-му? Насчет последнего - сервак с 2000-м ЦС после модернизации домена до 2003 будет выведен.

[Pili]

lumoder, 1-ый способ :), т.к.

Цитата lumoder:

сервак с 2000-м ЦС после модернизации домена до 2003 будет выведен. »

Хотя если ставить поверх, всё должно работать. Если хотите, можете забэкапить ЦС от Win2000 с сохранением сертификата от ЦС win2000 и потом восстановить его на Win2003 (при установке использовать существующий сертификат), можно по этой схеме, на криптопро не обращать внимания (технология та же)

[lumoder]

А если просто поднять второй ЦС? Они не поругаются между собой? И еще вопрос: кем должен быть заверен сертификат моего ЦС?

[Pili]

Цитата lumoder:

поднять второй ЦС »

Второго корневого ЦС в домене не бывает, можете 2-ой сделать подчиненным.

Цитата lumoder:

кем должен быть заверен сертификат моего ЦС »

Никем, сертификат корневого ЦС - самоподписанный.

[lumoder]

Проблема в том, что сервер, являющийся корневым CA сейчас скоро будет убит и надо его чем-то заменить. Как тут быть? К чему приведет удаление корневог CA сейчас?

[lumoder]

Уважаемые форумчане, так кто-нибудь ответит? К чему приведет удаление корневого CA?

[Delirium]

Цитата lumoder:

К чему приведет удаление корневого CA? »

Удаление корневого ЦА приведет к тому, что ты не сможешь проверять подлинность уже выданных сертификатов + не сможешь выдавать новые.

[lumoder]

Хорошо. Тогда как быть со старым CA? Сервер, на котором он стоит, планируется вывести из использования. Возможно после удаления корневого CA повысить уровень бывшего подчиненного?