Temos uma CA raiz offline openssl com um SubCA integrado ao Windows 2008 R2 AD.
A CA raiz do Openssl foi publicada no ldap CN=ROOTCANAME,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN usando certutil -dspublish -f root.cer RootCA
Tudo funciona bem, exceto por uma coisa. Até agora, dois clientes (ambos XP) apareceram e não importaram o Cert de CA Raiz para o armazenamento de autoridades de certificação de raiz corporativa confiável.
Na minha estação de trabalho, recebo a seguinte saída:
C:\>certutil -store -enterprise root
402.203.0: 0x80070057 (WIN32: 87): ..CertCli Version
================ Certificate 0 ================
Serial Number: f818516373f917e8
Issuer: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE
Subject: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE
Signature matches Public Key
Root Certificate: Subject matches Issuer
Cert Hash(sha1): a6 ed 80 59 04 80 c7 1f 4e cb aa e1 8d e7 77 4a 2a 98 43 97
No key provider information
No stored keyset property
CertUtil: -store command completed successfully.
Em uma estação de trabalho que não importa o certificado da CA raiz. A saída é:
C:\>certutil -store -enterprise root
CertUtil: -store command completed successfully.
Mesmo depois de importar o certificado manualmente. Esta máquina em particular foi mesmo reintegrada ao domínio. Sem sucesso.
As perguntas agora são:
- onde procurar erros ou depurar informações?
- como identificar máquinas com este problema?
- como disparar manualmente a importação de certificados do ldap?
- Essa é a abordagem correta para distribuir a raiz do ca cert? Eu prefiro não usar uma política de grupo para distribuição simples, mas do outro lado não consigo encontrar muita informação sobre o processo de distribuição do ldap.