[решено] Сертификат сервера: неверный тип ключа...

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- ISA Server / Microsoft Forefront TMG (http://forum.oszone.net/forumdisplay.php?f=98)

Сертификат сервера: неверный тип ключа...

Доброго времени суток.

Наверное уже поднимался подобный вопрос, но поиском именно по этой проблеме не нашёл, сильно не пинайте ;)

Суть в двух проблемах:
1) После установки TMG2010 на сервере w2k8, не получается выйти на страницу сервера ЦС по https://*srv-ca*/CertSrv, хотя до установки tmg всё работало. С других серверов, раб. станций в домене всё работает, не могу понять в чём дело?
2) Самая главная - в меню выбора сертификата сервера в консоли tmg не представляется возможным выбрать сертификат - те что есть все красные, в сведении об установке сертификата в поле закрытый ключ указано "неверный тип ключа"

Что я делал: на сервере где установлен IIS, через ммс "сертификаты" для компьютера выдал сертификат веб-сервера на имя mail.mydomen.ru с возможностью экспортировать ключ, вроде всё правильно. Потом экспортировал этот сертификат в файл, перекинул на tmg и через консоль "сертификаты" импортировал вместе с ключём его на tmg где он и появился в паке "Личные" - вроде всё правильно сделал. Но в консоле управления tmg он по прежнему красный с тем же комментарием :((

Во общем я в шоке и не понимаю, что я делаю не так.

П.С. PKI одноранговая. В системе только один СА, который корневой ЦС-преприятия. Начинаю думать что tmg не доверяет моему ЦС. Во общем подскажите или объясните что не так, мой мозг уже вскипел :(

С уважением.

Машина с TMG в домене или нет?

Доброго времени суток.

TMG естественно в домене

Разобрался со вторым пунктом: все операции делал на сервере, который тоже в домене, где Exchange и IIS развёрнуты.
1. Нажал "выполнить", ввел mmc
2. В открывшемся окне добавил оснастку Сертификаты (локальный компьютер)
3. В ней нажал правой кнопкой мыши по названию "Личное", выбрать "все задачи - дополнительные операции - создать настраиваемый запрос"
4. Там: Далее - шаблон "веб-сервер" - Подробности, Свойства - Тема, общее имя = "внешнее имя ресурса", Добавить - Закрытый ключ, поставщик службы шифрования = "Microsoft RSA...", параметры ключа = "сделать закрытый ключ экспортируемым" - Ок - Далее - указываете путь, Готово. Сохранил запрос.
5. Открываю браузер на том же сервере
6. Набираю http://"CA"/certsrv - нажимаю "Расширенный запрос сертификата" - Указываю "Выдать запрос, используя base-64 ....."
7. В поле "сохраненный запрос" вставляю содержимое сохраненного файла-запроса
8. Выбираю шаблон сертификата - веб сервер.
9. Выдать - Загрузить сертификат - сохранить.
10. Импортирую его теперь в "Сертификаты (локальный компьютер) - Личное" на этом же сервере.
11. Экспортирую сертификат мастером, при этом выбираю "экспортировать закрытый ключ" и галок дополнительных не ставлю - по дефолту
12. Захожу на TMG сервер в оснастку "Сертификаты (локальный компьютер) - Личное" и импортирую этот сертификат.

Все оснастки, IE запускал от имени администратора, хоть и заходил с правами администратора домена. После всех этих операций сертификат стал зелёным.

Теперь осталась проблема по первому пункту: по прежнему не получается подключиться к CA через браузер :(

Цитата:

Цитата Brat_ES

Теперь осталась проблема по первому пункту: по прежнему не получается подключиться к CA через браузер »

А что в журнале отображается в момент соединения?

Попробуй отключить, хотя бы на время, в системной политике TMG (служба каталогов) опцию "требовать строгого соответствия RPC" , а также нужно отключить RPC-фильтр в "система"- "фильтры приложений". Может помочь
И после этого попробуй запросить новый сертификат из оснастки сертификаты ( пользователь-личные и компьютер- личные)