Windows
如何調試缺少的企業根 ca 證書?
我們有一個帶有 Windows 2008 R2 AD 集成 SubCA 的 openssl 離線根 CA。
Openssl 根 CA 發佈到 ldap
CN=ROOTCANAME,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN
使用certutil -dspublish -f root.cer RootCA
一切正常,除了一件事。到目前為止,出現了兩個客戶端(均為 XP),它們沒有將根 CA 證書導入受信任的企業根證書頒發機構儲存。
在我的工作工作站上,我得到以下輸出:
C:\>certutil -store -enterprise root 402.203.0: 0x80070057 (WIN32: 87): ..CertCli Version ================ Certificate 0 ================ Serial Number: f818516373f917e8 Issuer: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE Subject: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE Signature matches Public Key Root Certificate: Subject matches Issuer Cert Hash(sha1): a6 ed 80 59 04 80 c7 1f 4e cb aa e1 8d e7 77 4a 2a 98 43 97 No key provider information No stored keyset property CertUtil: -store command completed successfully.
在不導入根 CA 證書的工作站上。輸出是:
C:\>certutil -store -enterprise root CertUtil: -store command completed successfully.
即使在手動導入證書之後。這台特定的機器甚至重新加入了域。無濟於事。
現在的問題是:
- 在哪裡查找錯誤或調試資訊?
- 如何辨識有此問題的機器?
- 如何手動觸發導入 ldap 證書?
- 這是分髮根 ca 證書的正確方法嗎?我更喜歡不使用組策略進行簡單分發,但另一方面找不到有關 ldap 分發過程的太多資訊。
需要檢查的幾件事:
- 此客戶端是否已禁用證書自動註冊?缺乏自動註冊可以解釋缺乏進口。
- 由於手動導入,證書是否在受信任的根儲存中,而不是在企業信任容器中?檢查受信任的根儲存中的電腦帳戶
certmgr.msc
。- 它是否可能被導入然後由於某種原因被刪除?如果它認為它已經被導入,那麼它不會再次導入;清除 下的子鍵
HKLM\Software\Microsoft\Cryptography\AutoEnrollment\AEDirectoryCache
,然後使用 重新執行自動註冊certutil -pulse
。