[Petroman]

Коллеги. Прошу помощи.
Борюсь с проблемой:
Automatic certificate enrollment for local system failed to enroll for one "бла-бла-бла" certificate (0x80070005). Access is denied.

Перечитал все доступные материалы по этой ошибке. При ручном запросе вылезает это:

The certificate request failed because of one of the following conditions:
- the certificate request was submitted to a Certification Authority (CA) that is not started.
- You do not have the permissions to request certificates from the available CAs.

По этой ошибке тоже все перечитал и испробовал все рекомендации.
Остро необходимо получить сертификаты для контроллеров домена. Обычными путями это сделать не удается.
Домен на 2003 ЕЕ, машины с 2000 виндой через групповые политики преспокойно получают сертификаты автоматически. Машины с 2003 и ХП не могут ни как. Есть корневой центр и подчиненный оба центра могут выдать самим себе любые сертификаты, а так же любым желающим сертификаты на пользовательских шаблонах, на машинных - нет.
Есть версия, что собака зарыта глубоко в недрах АД, хотя необходимые права и разрешения на объектах имеющих отношение к сертификации проверены и настроены.
В общем вопрос: Как можно вручную создать запрос сертификата с тем, чтобы потом его выписать на ЦС и перенести на требуемую машину?
При обращении на веб страницу ЦС в списке шаблонов нужные отсутствуют. Если использовать мастер запроса сертификата на машине, то он сразу ломится на СЦ, можно ли экспортировать созданный им запрос в файл?

[gnelasatryan]

У меня такая проблема

Я сначала поставил на "win 2003 enterprise" центр сертификации (stand-alone root CA) и отключил от сети(изолировал) (комп в не домены), после чего я на другом компьютере хотель установить win 2003 enterprise изолированный подчинённый центр сертификации(stand-alone subordinate CA) , который тоже в не домены.
Запрос сохранил на файл(*.req). Этот файл я импортировал на корневой центр сертификации, и затем, на основе импортированного запроса выдал сертификат. На корневой CA я публиковал список отозванных сертификатов (*.crl). После чего взял от корневого центра, сертификат содержащий открытый ключ(root.cer), список отозванных сертификатов (rootCA.crl) и файл, содержащий сертификат, выданный подчинённому центру сертификации на основании запроса.
"Эти три файла мы переносим с корневого центра сертификации на подчинённый. Сертификат корневого центра сертификации импортируем на компьютер с установленным подчинённым центром сертификации (для этого достаточно просто открыть файл сертификата и нажать кнопку «установить сертификат»). Файл, содержащий список отозванных сертификатов необходимо положить в папку %system root%\system32\certsrv\certenroll (это тот путь, который мы указывали, когда меняли свойства корневого центра сертификации). А так же необходимо импортировать в реестр, с помощью остнастки - сертификаты. Файл, содержащий сертификат подчинённого центра сертификации необходимо импортировать в подчинённый центр сертификации:"

После всех этих действий когда хачу запускать подчинённый центр сертификации выдает такое сообщение

The revocation function was unable to check revocation because the revocation server was offline 0*80092013(2146885613)

[monkkey]

Цитата gnelasatryan:

because the revocation server was offline »