Como depurar o certificado CA de raiz corporativa ausente?

1

Temos uma CA raiz offline openssl com um SubCA integrado ao Windows 2008 R2 AD.

A CA raiz do Openssl foi publicada no ldap CN=ROOTCANAME,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN usando certutil -dspublish -f root.cer RootCA

Tudo funciona bem, exceto por uma coisa. Até agora, dois clientes (ambos XP) apareceram e não importaram o Cert de CA Raiz para o armazenamento de autoridades de certificação de raiz corporativa confiável.

Na minha estação de trabalho, recebo a seguinte saída:

C:\>certutil -store -enterprise root
402.203.0: 0x80070057 (WIN32: 87): ..CertCli Version
================ Certificate 0 ================
Serial Number: f818516373f917e8
Issuer: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE
Subject: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE
Signature matches Public Key
Root Certificate: Subject matches Issuer
Cert Hash(sha1): a6 ed 80 59 04 80 c7 1f 4e cb aa e1 8d e7 77 4a 2a 98 43 97
No key provider information
No stored keyset property
CertUtil: -store command completed successfully.

Em uma estação de trabalho que não importa o certificado da CA raiz. A saída é:

C:\>certutil -store -enterprise root
CertUtil: -store command completed successfully.

Mesmo depois de importar o certificado manualmente. Esta máquina em particular foi mesmo reintegrada ao domínio. Sem sucesso.

As perguntas agora são:

  • onde procurar erros ou depurar informações?
  • como identificar máquinas com este problema?
  • como disparar manualmente a importação de certificados do ldap?
  • Essa é a abordagem correta para distribuir a raiz do ca cert? Eu prefiro não usar uma política de grupo para distribuição simples, mas do outro lado não consigo encontrar muita informação sobre o processo de distribuição do ldap.
por Jonathan 23.01.2012 / 15:11

2 respostas

1

Algumas coisas para verificar:

  • O registro automático do certificado foi desativado neste cliente? A falta de registro automático explicaria a falta de importação.
  • O certificado está no armazenamento confiável de raízes, mas não no contêiner de confiança da empresa, devido à importação manual? Verifique o repositório de Raízes Confiáveis da conta do computador em certmgr.msc .
  • Ele foi importado e excluído por algum motivo? Se achar que foi importado, não importará novamente; limpe as subchaves em HKLM\Software\Microsoft\Cryptography\AutoEnrollment\AEDirectoryCache e, em seguida, execute novamente o registro automático com certutil -pulse .
por 23.01.2012 / 19:01
1

"I prefer to not use a group policy for simple distribution..."

Por que não? É exatamente para isso que o GP foi projetado - para distribuir configurações / configurações comuns aos PCs de domínio. Basta importar o certificado raiz para um GPO em Configuração do computador > Políticas > Configurações do Windows > Configurações de segurança > Políticas de chave pública > Autoridades de certificação raiz confiáveis

    
por 23.01.2012 / 15:59