Blog Marcina Bojko

Linux,Windows,serwer, i tak dalej ;)

Posts Tagged ‘active directory

Cykl artykułów na blogu AVG – Małe podsumowanie o urządzeniach USB i polisach GPO.

Written by marcinbojko

Czerwiec 20, 2013 at 18:38

Napisane w Uncategorized

Tagged with , ,

Enrollment agent i ‚Żądaj w imieniu’ – No certificate available. No certificates meet the application criteria

Tymże dwoma frazami w zupełnie różnych językach opisuję problem nad jakim przesiedziałem ostatnio trochę czasu. Otóż historia wygląda tak.

Istnieje w domenie AD serwer spełniający rolę CA – nazwijmy go roboczo ‚ca’ (popis, nie?). Mamy rozrzucone po świecie stacje robocze, na których wskazani przez nas użytkownicy mogą przeprowadzać operację generowania certyfikatów dla kolejnych użytkowników naszej domeny. Stacje robocze pracują pod kontrolą W7/Visty/XP.

Błąd:

Cyklicznie, co pewien czas osobnik wskazany jako EA (Enrollment Agent – Agent rejestracji) tracił możliwość wystawiania w imieniu – stacja nie była w stanie odnaleźć w lokalnym kontenerze certów, żadnego certyfikatu o tej właśnie roli. Skutkowało to tym, iż pilne certyfikaty, które wygasły – były niemożliwe do wystawienia.

Rozwiązanie:

Stacja uruchomiona, użytkownik o roli EA zalogowany do domeny.

a) uruchamiamy regedit i sprawdzamy czy istnieją wpisy w
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates\

Jeżeli 'Certificates' są puste należy
b) uruchomić certmgr.msc. Z sekcji Trusted Sites odnaleźć certyfikat naszego CA (ca). Wyeksportować ca do pliku cer np. ca.cer
c) uruchomić zażądaj certyfikatu 'Agent rejestracji' - Enrollment Agent, przejść do końca procesu
d) wyeksportować tak utworzonego agenta do pliku nazwisko.cer
e) certutil -enterprise -addstore NTAuth nazwisko.cer
f) certutil -enterprise -addstore NTAuth ca.cer

We wskazanym kluczu możemy zaobserwować 2 bloby. Koniec. Działa.


Written by marcinbojko

Listopad 28, 2011 at 19:33

Napisane w Uncategorized

Tagged with , , ,

%d bloggers like this: