[AlxCruel]

Здравствуйте.

У меня возникла проблема с получением сертификата от СЦ и установкой его на машину.

Ситуация следующая:
Есть 2 СЦ – корневой изолированный(развернут на виртуальной машине и используется только для создания корневого сертификата) и подчиненный СЦ предприятия развернутый на одном доменных контроллеров. На подчиненном СЦ предприятия в политиках установили присваивать запросам состояние ожидания до явной выдачи сертификата администратором. Оба СЦ работают, вроде бы нормально.

Возникла проблема при попытке выдать сертификат на компьютер(WinXP sp2). Получить его через web-интерфейс не получается в перечне шаблонов выдаваемых сертификатов «Компьютер» нет. Пробую через оснастку «сертификаты(локальный компьютер)». После создания запроса(через «запросить новый сертификат») в узле «Запросы заявок на сертификаты» появляется запрос, а на ЦС появляется заявка в ожидании. После выдачи сертификата по этой заявке(пр.клик по ней->выдать) ЦС не отдает его запросившему компьютеру. Экспортирую новый сертификат с ЦС в двоичном виде, переношу на запросившую машину и там импортирую в личные сертификаты. В итоге – запрос не исчезает, а в личных - появляется новый сертификат без закрытого ключа соответствующего ему(это понятно ООН по идее остался в заявке).

Подскажите, как мне правильно получить сертификат на компьютер?

[monkkey]

Цитата AlxCruel:

при попытке выдать сертификат на компьютер »

Цитата AlxCruel:

импортирую в личные сертификаты »

Несоответствие, однако.

[AlxCruel]

monkkey,

Цитата:

Несоответствие, однако.

Я имею в виду в узел сертификаты(локальный компьютер)\Личные\Сертификаты. Или я чего-то не понял?

[Pili]

Цитата AlxCruel:

в перечне шаблонов выдаваемых сертификатов «Компьютер» нет »

но есть галочка Store certificate in the local computer certificate store на странице certsrv/certrqma.asp (если формировать запрос через Create and submit a request to this CA.)

[AlxCruel]

Pili,

Цитата:

но есть галочка Store certificate in the local computer certificate store на странице certsrv/certrqma.asp (если формировать запрос через Create and submit a request to this CA.)

Ага. Но там в шаблонах сертификата почему-то нет шаблона компьютера(и всех производных от него).

[Pili]

AlxCruel, на изолированном ЦС не используюся шаблоны сертификатов, на ЦС в AD шаблонами управлять через оснастки Шаблоны сертификатов и AD Site and Services-Sevices-Public Key Services-Certificate Templates

[AlxCruel]

Pili,

Цитата:

AlxCruel, на изолированном ЦС не используюся шаблоны сертификатов,

Ага, они мне там и не нужны. Корневой изолированый ЦС у меня работает нормально. У меня проблемы именно с получением сертификата от подчиненного ЦС в AD.

Цитата:

на ЦС в AD шаблонами управлять через оснастки Шаблоны сертификатов и AD Site and Services-Sevices-Public Key Services-Certificate Templates

Я туда лазил, шаблон "компьютер" в оснаcтке центр сертификатов есть. Через оснастку Шаблоны сертификатов сделал на основе шаблона "компьютер" свой - "Компьютер wdk" c большим сроком действия. Когда выдаю сертификат на компьютер через оснастку сертификаты они оба доступны, но через web интерфейс-то выдается сертификат только на пользователя .

Как правильно получить сертификат именно для рабочей станции?

[Pili]

На вкладке Request Handling шаблон привяжите к CSP и дайте права в Security

[AlxCruel]

Pili,

Цитата:

На вкладке Request Handling шаблон привяжите к CSP и дайте права в Security

Если можно немного подробнее, честно говоря не соображу, что нужно сделать.

Шаблон уже привязан к CSP(он его наследует от родительского шаблона "компьютер")

Права следующие:
Администраторы домена - чтение, запись, заявка;
Компьютеры домена - заявка;
Прошедшие проверку - чтение;

Но сертификат как не осоциируется с заявкой на него.

[Pili]

идете в AD Site and Services-Sevices-Public Key Services-Certificate Templates - выбираете нужный шаблон -пр. кн. мыши properies - Request Handling - 2-я вкладка, ставите галки на CSP которые будут исп-ся с этим шаблоном, на вкладке Security той группе, которая будет подавать запросы ставите read и enroll (обычно это гр. Прошедшие проверку), на веб сервере ЦС авторизация пользователей из домена у вас должна быть настроена.