| ||||
| ||||
| При проверке соединения Центра Регистрации с Центром Сертификации (ч/з свойства ЦР)выдается ошибка соединения - ругается на SOAP. URL обработчика ЦС верный, сертификаты в порядке, службы запущены. Причем при попытке открыть URL файла-обработчика ЦС в Explorer-е с компьютера ЦР вываливается ошибка DNS - типа, сервер не найден. С ЦР ЦС пингуется. Если Explorer-ом заходить на адрес типа https://centr_sertif/CA/ , то ругется на то, что нет доступа, т.е, похоже, до Web-сервера ЦС с ЦР "достучаться" можно. При открытии этой же URL обработчика ЦС с компьютера ЦС появляется список установленных сертификатов и предлагается выбрать один из них, затем вываливается XML - ина. В документации описаны четыре причины возникновения подобных ошибок: - отсутствие соединения с Центром сертификации (ЦС пингуется с ЦР) - не запущена служба Microsoft Certificates Authority (служба запущена) - запрос на сертификат привилегированного пользователя не содержит идентификаторы, определяющие роль привилегированного пользователя (? пользователей еще нет вообще, были выданы только WEB-RA, Client-RA сертификаты) - настройки модуля политики ЦС не позволяют выпустить сертификат в соответствии с запросом (?). Пожалуйста, поясните две последние причины и подскажите возможные способы решения данной проблемы. | ||||
| Ответы: | ||||
| ||||
| Забыл сказать, что CSP 2.0 | ||||
| ||||
| Если с ЦР нельзя зайти на ЦС по URL файла обработчика на вкладке "Общие" приложения "Параметры Центра регистрации" то о каком соединении может идти речь?! :-) Значит URL задан не правильно! По умолчанию там пробит locahost. Вот его надо заменить на доменное имя, указанное в атрибуте CN из SubjectDN сертификата серверной аутентификации ЦС. А в общем, причины могут быть следующие: 1. Не правильно задан URL файла обработчика ЦС на ЦР, а именно, доменное имя сервера не совпадает с Common Name субъекта в сертификате веб-сервера ЦС 2. Common Name субъекта в сертификате веб-сервера ЦС не совпадает с доменным именем компьютера ЦС 3. Не выбран клиентский сертификат ЦР 4. Клиентский сертификат ЦР не занесен в список доверенных ЦР на ЦС (приложение "Параметры Центра Сертификации") 5. На ЦР не установлен сертификат ЦСа в раздел "доверенные ЦС" хранилища сертификатов ЛОКАЛЬНОГО КОМПЬЮТЕРА (прошу обратить внимание на выделение заглавными буквами) 6. На ЦР не установлен список отозванных сертификатов ЦСа в раздел "промежуточные центры сертификации" хранилища сертификатов ЛОКАЛЬНОГО КОМПЬЮТЕРА 7. Если номер билда УЦ ниже чем 1.02.0106 то должна использоваться только локализованная версия Windows 2000 на ЦС и ЦР 8. "Сбита" настройка на двухсторонний TLS (д.б. "требовать сертификаты клиентов") в IIS для файла CA.asp, расположенном в виртуальном каталоге СА веб-узла ЦР (по умолчанию "Веб-узел по умолчанию") | ||||
| ||||
| Все 8 пунктов рекомендаций тщательно выполнены и выверены, результат - ошибка не ушла :-( Итак, более точный анамнез: имеем подчиненный ЦС в цепочке (3-й по счету) ЦС. ЦС "наружу" не смотрит (только ЦР), имеет только локальный IP и DNS адрес. При правильном выполнении п.п. 1-8 из пред. ответа, имеем вот такую ошибку при тестировании соединения ЦР с ЦС: == Ошибка при попытке установления соединения центром сертификации (??? имеется в виду С центром сертификации? - Leskei) Скорее всего неправильно установлен адрес URL файла-обработчика (ASP) Центра Сертификации. Номер: 5052 Описание: Client: An unantipicated error occurred during the processing of this request. HRESULT=0x800A13BC - Client: Sending the SOAP message failed or no recognizible responce was received HRESULT=0x800A13BC - Client: Unspecified client error. HRESULT=0x800A13BC == При этом web сервер ЦС говорит следующее: == #Fields: date time c-ip cs-username s-sitename s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-bytes cs-bytes cs(User-Agent) cs(Cookie) cs(Referer) 2003-08-21 07:28:54 192.168.7.1 - W3SVC1 192.168.7.7 443 POST /CA/CA.asp - 500 0 266 SOAP+Toolkit+3.0 - - 2003-08-21 07:29:03 192.168.7.1 - W3SVC1 192.168.7.7 443 POST /CA/CA.asp - 403 4544 266 SOAP+Toolkit+3.0 - - == | ||||
| ||||
| Если 3-х уровневый то не забудьте на ЦС и ЦР поставить все сертификаты и CRL цепочки в хранилище сертификатов. Далее, соединение не будет установлено, если после установки УЦ копьютеры ЦС и/или ЦР переименовывались и/или добавлялся в домен или исключался из домена. Если ДА, то требуется деинсталлировать УЦ и установить заново. Если | ||||
Leskei