Renovação de certificados de serviço para o NDES no Windows Server 2008 R2

4

Atualmente, usamos o Serviço NDES no Windows 2008 R2 Enterprise, onde a mesma caixa também é a Autoridade de Certificação independente.

Durante a configuração inicial, o NDES criou 2 certificados de serviço para o SCEP com base nos modelos CEPEncryption e EnrollmentAgentOffline.

Estes dois certificados SCEP expiraram e estamos com dificuldades para renovar / solicitar novos.

Tentando renová-los usando os certificados MMC snap com a mesma chave (todas as tarefas- > operações avançadas- > renovar este certificado com a mesma chave) produz um erro

“An enrollment policy server cannot be located”

Eu tentei seguir as instruções no seguinte URL para renovar os certificados de serviço, mas eles não parecem estar corretos para o cenário em que estamos (provavelmente a autoridade de certificação autônoma).

link

Especificamente, os passos 10, 11 começam a divergir

  1. Clique com o botão direito do mouse, selecione Todas as tarefas e clique em Selecionar novos certificados. (não tenho a opção Selecionar novos certificados).
  2. Na caixa de diálogo Inscrição de certificado, clique em Avançar. ( em todas as tarefas de renovação / solicitação que eu escolho recebo o erro mencionado acima)

Alguém pode me ajudar com o erro e me instruir sobre como renovar esses certificados de serviço neste cenário?

    
por Craig 03.09.2013 / 05:41

2 respostas

1

O cenário de CA autônomo estava causando o problema. O processo de renovação e solicitação de certificado embutido na GUI de certificado do MMC requer um servidor web de política (que não pode ser executado em uma autoridade de certificação autônoma, pois exige permissões de domínio para instalação).

Como resultado, você precisa remover manualmente, solicitar e aceitar os novos certificados. Encontrei uma postagem no blog que detalha instruções sobre como fazer isso manualmente usando o certutil.

    
por 03.09.2013 / 19:32
0

Acabei de me deparar com este mesmo problema. Presumo que "Selecionar novos certificados" seja um erro no artigo da TechNet que você mencionou, e deve ler " Solicitar Novos certificados". De qualquer forma, as instruções não funcionam para uma autoridade de certificação autônoma.

Em vez de tentar renovar manualmente os certificados, resolvi o problema removendo o Serviço NDES da função Serviços de Certificados do Active Directory e adicionando novamente o serviço NDES novamente, criando assim dois novos certificados.

Não é ideal porque requer uma reinicialização do servidor para concluir a remoção do serviço NDES, mas alcançou o resultado desejado com o mínimo de esforço.

    
por 18.02.2016 / 15:25