Проверка списка отзывов сертификатов AD CS
Поделитесь опытом по работе со списками отзыва сертификатов.
VipNet
Настроен один центр сертификации. Точки распространения прописаны через LDAP и Web сервер. Сертификаты с этими параметрами перевыпущены. Обновляю на сервере сертификации списки отзывов - они обновляются. На доменных клиентах же никаких изменений. Хотя списки отзыва там уже просрочены - след обновление в нем написано должно было быть уже 20 января. Конечно можно вручную установить списки. Но они же должны раз в цикл сами обновляться??! В общем на сервер терминалов зайти пока что так не могу. Зато на другие серверы нашел временное решение. Я подозреваю что всё-таки это из за того, что недоступны списки отзыва извне. В общем я через групповую политику настраивал, чтоб два сервера автоматически получали по спец шаблону сертификат, который будет использоваться при удаленном подключении. Иначе винда по умолчанию использует самоподписанный сертификат. И эти специальные сертификаты видимо требуют чтоб их проверили по спискам отзывов. Я сейчас удалил эти сертификаты на двух серверах, поправил групповую политику чтоб использовались сапомодписанные сертификаты. И заработало - я получил доступ к этим двум серверам. С терминал сервером тоже самое получается - у него в настройках узла сеансов удаленных рабочих столов задан специальный сертификат. Если его поменять на самоподписанный - то думаю тоже всё заработает. Но это не есть хорошо. Я всё правильно понял? Мне сейчас надо пилить, чтобы были доступны извне списки отзыва сертификатов и по идеи должны заработать тогда будут нормальные сертификаты, а не самоподписанные? Ой - прошу прощения. Разобрался что это действительно не то Я просто увидел в оснастке сертификаты - промежуточные центры сертификации - списки отзывов. На моем ЦС там правда лежат свежие списки отзывов. Но на других компах там ничего не должно быть - я просто на одном из них до этого ставил тоже центр сертификации и эти списки остались. И я решил что они везде должны обновляться. А проблема вообще возникла такая. Есть сервер терминалов, на нем же шлюз удаленных рабочих столов. Отдельно есть контроллер домена, на нем центр сертификации. Самый последний для XP клиент удаленных раб столов. В общем если отключать на XP проверку на уровне сети - я могу нормально заходить через шлюз терминалов на любой комп. Если я включаю проверку на уровне сети прописываю в реестре нужные ключи - то зайти я могу только на контроллер домена, то есть как раз на комп, где стоит центр сертификации. На любой другой компьютер пытаюсь зайти - вылазит такое окно. Подключение было разорвано, поскольку был получен непредусмотренный сертификат проверки подлинности сервера от удаленного компьютера. Если проблема сохранится, обратитесь к владельцу удаленного компьютера или к сетевому администратору. Тут на форуме была у человека такая проблема - но у него решилось обновлением на сервере расписания и списков отзыва сертификатов. Предполагаю, что на локальный Windows XP в доверенные центры сертификации нужно добавить корневой сертификат. Корневой сертификат добавлен на клиентскую машину в доверенные центры сертификации. Я ведь могу зайти на компьютер где стоит центр сертификации. Почему не получается зайти на другие - на терминал сервер и ещё на один можно сказать пустой сервак?? Плюс к тому же если отключить проверку подлинности на уровне сети - то получается зайти. Вот это тоже странно очень. Сейчас пробовал - удалил на всех серверах устаревшие сертификаты и списки отзывов, созданные вторым центром сертификации, который я потом удалил. На удаленном компе прописываю к имени test. Соединяюсь через шлюз удаленных рабочих столов к компу, на котором к службе удаленных рабочих столов через групповую политику задан новый специальный сертификат. Где могут быть грабли??? Из локальной сети подключаюсь к этому компу нормально. И сверху показывает что соединение идет через этот сертификат. Почему удаленно то не получается.. В общем сейчас получается так - эта проверка на уровне сети работает. Если я не задаю через групповую политику для служб удаленных рабочих столов нужный шаблон сертификатов - то есть служба использует свой, самоподписанный сертификат, то соединение устанавливается. Если я задаю через ГУ сертификаты - то подключиться удаленно уже не могу с приведенной выше ошибкой. Так же я не могу подключиться к серверу терминалов - потому что в нем уже вручную задается сертификат, созданный местным ЦС. RDG то как я понимаю работает нормально. В смысле вписаны корректно? В настройках RDG и RDSH указал нужные сертификаты Сертификаты создавал по шаблону "Компьютер" Machine. Так же пробовал создать такой вот сертификат. В дополнительные имена в сертификатах вписано FQDN, IP адрес и короткое имя. Соединяться пробовал по разным именам. Соединение сейчас идёт через Forefront TMG. Публикацию RDG и списков отзывов сделал - правила работают. Задал ему только FQDN имя. Всунул его узлу сеансов удаленных рабочих столов. Соединяюсь - тоже самое. Сертификат открываю - всё нормально Я конечно же добавлял на клиенте в доверенные сертификаты сертификат моего ЦС. Я то думал если открыть сертификат, то можно будет проверить - смог ли он проверить списки отзывов. Но вот во forefront отрубил сейчас правило - а сертификат всё равно без предупреждений Можно ли как-нибудь проверить - сверяется ли он со списками отзыва? Хотя опять же - в браузере сайт открывается. Поставил сегодня на вирт машине дома Win7. Удалось прицепиться из под неё к серверу терминалов. Но при подключении выдавало ошибку, что не может проверить был ли отозван сертификат - хотя через браузер заходит по тому пути, что прописан в точках распространения сертификата. Подозреваю что в XP из за этого просто соединения и не устанавливается не выдавая никаких предупреждений. Может поставить этот внешний адрес распространения crl - самым первым? Затем доступный извне http, затем доступный из внутренней сети http. В общем всё оказалось гараздо проще - я перезагрузил винду дома и после этого всё стало работать. Я менял местами ldap и http в точках распространения - сейчас поставил обратно как было. Такой вопрос - для ldap надо все галочки поставить? А то когда удалял, чтобы второй эту точку создать после http - забыл посмотреть. Да я после включения credssp перегружал компьютер - в чем-то другом видимо затык был. Dmitry Nikitin - спасибо вам большое за помощь, подсказки Уже в нескольких темах от вас дельные советы и получаю. Зарегистрировал доменное имя, прикрутил его к офису. В связи с этим создал новые сертификаты для шлюза и для сервера терминалов. В точках распространения сертификатов прописал http по новому адресу - поставил его вообще первым в списке. С компьютера по этому http заходит и скачивает crl. Соединяюсь с windows 7 - выдает сообщение "Не удалось проверить, не был ли отозван этот сертификат". С windows xp вообще не заходит - обрубает с сообщением "Подключение было разорвано, поскольку был получен непредусмотренный сертификат проверки подлинности сервера от удаленного компьютера. В прошлый раз каким-то мистическим образом всё само начало работать. Сейчас же и перегружал компьютер и чего только не делал - с этим новым доменным именем такая вот ерунда Так что проблема видимо к сожалению не решена. Удаление старых СОС командой Deleting old CRLs Загрузка новых, командой wget. Эти команды можно записать в bat-файл и поместить в автозагрузку или планировщик заданий. Куда и зачем их устанавливать на клиентах??? Это же должно автоматически происходить на стороне клиента. Мы запрашиваем сертификат сервера, проверяется - доверяем мы ему или нет сертификат ЦС у меня добавлен в доверенные , потом проверяется отозван сертификат или нет по ссылкам, добавленным в точках распространения сертификатов данного сертификата - то есть по этому url автоматически качается crl и проверяется список. Если всё нормально - то проверку прошли. Клиенты же не должны сами скачивать crl. Например заходя на какой-либо сайт по HTTPS - мы же предварительно не качаем сами его crl и не устанавливаем его. Первая статья не совсем подходит под мою проблему. Вторая статья - у меня так всё и настроено. Точка распространения доступна через браузер, можно вручную всё скачать - но при соединении к серверу терминалов выскакивает сообщение что невозможно проверить - отозван или нет сертификат на win xp клиенте соединение вообще вырубается с сообщением что непредусмотренный сертификат. Причем соединение идёт через RDG - видно что к шлюзу клиент соединился, а вот дальше затык идёт именно при подключении к серверу терминалов. Если использовать на нем самоподписанный сертификат, то соедениться получится - но это не решение. В общем победил я с горем пополам. Я убрал ldap, первым поставил http внешнего сервера, вторым http внутреннего сервера. Создал сертификат - и уже с ним всё начало работать Вот выкладываю логи certutil рабочего и не рабочего сертификатов. В обеих случаях certutil удачно проходит проверку отзыва сертификатов , но тем не менее чертов rdp клиент не хотел соединяться!! Ошибка при получении URL: Сетевой ресурс или устройство более недоступно. Отсутствует CRL "Сертификат 0 " Время: Проверено "Базовый CRL 43 " Время: Проверено "Разностный CRL 43 " Время: ОК "Разностный CRL 43 " Время: Отсутствуют URL "Нет" Время: Проверка отзыва сертификата выполнена. Проверено "Базовый CRL 44 " Время: Проверено "Разностный CRL 44 " Время: ОК "Разностный CRL 44 " Время: Вот здесь можно почитать про таймауты http: Вас не смущает надпись при проверке? У вас опубликованы сертификаты через IIS? Вот еще почитайте http: В домене все машины сертификаты видят и конектятся отлично но есть несколько тонких клиентов на Windows Embedded Standart которые не в домене, вот с ними возникают проблемы. Убирать ldap из AIA и CDP из-за нескольких тонких мне кажется не самым хорошим решением. Вот не большая выдержка из статейки которую Вы мне кинули:. Вторая ссылка составляет 5 секунд. Однако, здесь действует ещё одно ограничение — общее время таймаута для обработки одного сертификата — 20 секунд. Если вы сложите эти таймауты, скорее всего но не факт получите число 20, что вываливается в факт, что если в сертификате указано 3 и более ссылок, CryptoAPI максимум осилит только 2, всё остальное отвалится по общему таймауту. Так и получается 15 секунд на проверку AIA через ldap потом перескакивает на CDP и там тоже первой ссылкой ldap. Эксперимента ради развернул виртуалку на Windows XP ближе всего к Embedded Standart не вводя ее в домен и там этих проблем не возникает. Вот по этому меня заинтересовали эти пресловутые таймауты. Но на крайний случай - если не установится. И потом лог сюда. Когда вы покинете данный веб-сайт, в данном окне появится опрос, поэтому не закрывайте его. Корпорация Майкрософт проводит интернет-опрос, чтобы выяснить ваше мнение о веб-сайте Technet. Если вы желаете принять участие в этом интернет-опросе, он будет отображен при закрытии веб-сайта Technet. TechNet Продукты Ресурсы Скачать Обучение Поддержка Продукты Windows Windows Server System Center Microsoft Edge. Office Office Exchange Server. Resources Channel 9 Video Центр пробного ПО Учебные материалы Приложение Microsoft Tech Учебные материалы Microsoft Virtual Academy Центр сценариев Блоги по серверным продуктам и инструментам Блог TechNet. Новостной бюллетень TechNet Галерея TechNet Библиотека TechNet Видео TechNet Wiki Сайт Windows Sysinternals Виртуальные лабораторные занятия. Solutions Частное облако Безопасность Сети. Обновления Пакеты обновления Бюллетени по безопасности Центр обновления Microsoft. Сайты по теме Центр загрузки Microsoft Центр пробного ПО на TechNet Драйверы Сайт Windows Sysinternals Галерея TechNet. Обучение Виртуальные занятия, проводимые экспертами Каталог обучения Система поиска курсов Microsoft Virtual Academy Бесплатные курсы по Windows Server Курсы по Windows SQL Server training Microsoft Official Courses On-Demand. Сертификация Обзор сертификаций MCSA: Windows Server Сертификация по частному облаку Сертификация по SQL Server. Другие материалы и ссылки Мероприятия Microsoft Подготовка к повторной сертификации Блог Born To Learn. Продукты Для бизнеса Для разработчиков Для ИТ-специалистов Для технической поддержки Предложения по поддержке. Другие ссылки Microsoft Premier Online Форумы TechNet Форумы MSDN Бюллетени и советы по безопасности. Не специалист по ИТ? Поддержка для клиентов корпорации Microsoft Форумы Microsoft Community. Главная Новости Библиотека Обучение Скачать Мероприятия Сообщество Форумы Поддержка О проекте. Remove From My Forums. Помечено в качестве ответа Vinokurov Yuriy 30 января г. На любой другой компьютер пытаюсь зайти - вылазит такое окно Подключение было разорвано, поскольку был получен непредусмотренный сертификат проверки подлинности сервера от удаленного компьютера. Если проблема сохранится, обратитесь к владельцу удаленного компьютера или к сетевому администратору Тут на форуме была у человека такая проблема - но у него решилось обновлением на сервере расписания и списков отзыва сертификатов. Из за чего у меня может быть такая беда? Извне списки отзывов недоступны. Пока ещё не сделал этого. Я первым делом об этом подумал - но ведь на один из компьютеров я всё-таки могу зайти. Внутренний корпоративный PKI и служба сертификации терминальных серверов - совершенно разные центры выдачи сертификатов. В сертификате в точках распространения присутствует запись: В ответ получаю Подключение было разорвано, поскольку был получен непредусмотренный сертификат проверки подлинности сервера от удаленного компьютера. Если проблема сохранится, обратитесь к владельцу удаленного компьютера или к сетевому администратору Где могут быть грабли??? Пользуюсь русской версией сервера и русским RDP клиентом - там так написано В XP как раз прописывал в реестре CredSsp - оно видимо и есть. Если я задаю через ГУ сертификаты - то подключиться удаленно уже не могу с приведенной выше ошибкой Так же я не могу подключиться к серверу терминалов - потому что в нем уже вручную задается сертификат, созданный местным ЦС. Изменено Dmitry Nikitin Moderator 26 января г. С внутренней сети соединяется нормально и показывает в соединении этот новый сертификат. Век живи век учись - сейчас сделаю импорт сертификата и проверю А с более нового клиента не было возможности пока проверить. Из за чего может быть такое? В общем всё оказалось гараздо проще - я перезагрузил винду дома и после этого всё стало работать Я менял местами ldap и http в точках распространения - сейчас поставил обратно как было. Предложено в качестве ответа Dmitry Nikitin Moderator 30 января г. В общем опять эта беда началась.. Изменено Anikin Alexander 4 февраля г. Да, я Жук, три пары лапок и фасеточные глаза: Обновлять же надо только на сервере - делается это через оснастку центра сертификации. Остальное же должно автоматически происходить - просмотр нужного crl при запросе сертификата. Не совсем понял для чего конкретно эти команды нужны.. В основном на стороне клиента, для автоматизации этой процедуры, потому что нужно не только скачать СОС, но и правильно его установить. При запросе сертификата, после его предъявления, происходит его проверка по установленному СОС, если СОС старый, то сертификат откланяется как не прошедший проверку. Цепочка проверки СОС происходит по всему пути сертификации. Любая ошибка проверки СОС делает проверяемый сертификат не действительным. В предыдущем посте, как раз и приведены команды для корректного обновления СОС всей цепочки. В Ваших же постах, меня смутило то, что Вы только скачиваете СОС. А кто будет их устанавливать? Изменено Жук MVP 5 февраля г. А так же о создании корневого центра сертификации http: Изменено Anikin Alexander 6 февраля г. Внутренние и внешние имена заменены на local-serv и global-serv Нерабочий сертифика: Нет Проверенные политики применения: А возможно ли на стороне клиента поменять эти таймауты?? Как я понимаю система должна перебирать сначала тыкается в ldap не получилось переходит к следующему http. Дело не в таймаутах, клиентский компьютер дожидается и до 3-го в списке В данный момент вопрос задает вам совершенно другой человек Моя то проблема уж давно решена. Вот не большая выдержка из статейки которую Вы мне кинули: Вы желаете принять участие? Управление профилем Свяжитесь с нами Подписка на новости Условия использования Товарные знаки Конфиденциальность.
Эконометрика примеры решения задач
Шкода суперб 2007 технические характеристики
Сделай к задаче схематический
Технология саморазвития м монтессори
Как дешево из центра доехать до аэропорта
Авторы лингвистического словаря
Мультик молния все серии подряд
Мастер карт платинум
Кофточки в филейной технике схемы
Расписание автобусов 50 брест с 1 июня
Сколько углеводов нужно человеку
Гаррет 2500 инструкция
Что умеет делать малыш в 3 месяца
План строительства дома из сип панелей
Прямой кардиган спицами схемыи описание