Windows

如何調試缺少的企業根 ca 證書?

  • January 26, 2012

我們有一個帶有 Windows 2008 R2 AD 集成 SubCA 的 openssl 離線根 CA。

Openssl 根 CA 發佈到 ldapCN=ROOTCANAME,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN使用certutil -dspublish -f root.cer RootCA

一切正常,除了一件事。到目前為止,出現了兩個客戶端(均為 XP),它們沒有將根 CA 證書導入受信任的企業根證書頒發機構儲存。

在我的工作工作站上,我得到以下輸出:

C:\>certutil -store -enterprise root
402.203.0: 0x80070057 (WIN32: 87): ..CertCli Version
================ Certificate 0 ================
Serial Number: f818516373f917e8
Issuer: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE
Subject: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE
Signature matches Public Key
Root Certificate: Subject matches Issuer
Cert Hash(sha1): a6 ed 80 59 04 80 c7 1f 4e cb aa e1 8d e7 77 4a 2a 98 43 97
No key provider information
No stored keyset property
CertUtil: -store command completed successfully.

在不導入根 CA 證書的工作站上。輸出是:

C:\>certutil -store -enterprise root
CertUtil: -store command completed successfully.

即使在手動導入證書之後。這台特定的機器甚至重新加入了域。無濟於事。

現在的問題是:

  • 在哪裡查找錯誤或調試資訊?
  • 如何辨識有此問題的機器?
  • 如何手動觸發導入 ldap 證書?
  • 這是分髮根 ca 證書的正確方法嗎?我更喜歡不使用組策略進行簡單分發,但另一方面找不到有關 ldap 分發過程的太多資訊。

需要檢查的幾件事:

  • 此客戶端是否已禁用證書自動註冊?缺乏自動註冊可以解釋缺乏進口。
  • 由於手動導入,證書是否在受信任的根儲存中,而不是在企業信任容器中?檢查受信任的根儲存中的電腦帳戶certmgr.msc
  • 它是否可能被導入然後由於某種原因被刪除?如果它認為它已經被導入,那麼它不會再次導入;清除 下的子鍵HKLM\Software\Microsoft\Cryptography\AutoEnrollment\AEDirectoryCache,然後使用 重新執行自動註冊certutil -pulse

引用自:https://serverfault.com/questions/352722