Windows 2003 AD 证书服务在主 DC 上失败吗?

Windows 2003 AD 证书服务在主 DC 上失败吗?

证书服务显示错误:事件 ID:5 描述:证书服务找不到所需的注册表信息。证书服务可能需要重新安装。

我已按照说明从服务器手动删除了 CA:http://support.microsoft.com/kb/889250-。此服务器上有 Exchange 和 OWA,以及 ISA 2004 服务器。现在,域中的某些客户端在使用 SSL(https)连接到互联网时遇到问题,因为 IE 不断要求输入用户名和密码才能连接到域,并且 ISA 日志显示“连接尝试失败”。

我一直在思考:

  • 在同一台服务器上重新安装同名或不同名的证书服务

  • 在另一台同名或不同名的服务器上安装 AD 证书服务

我该怎么做才能解决这个问题?我因此陷入了很大的麻烦,所以请帮忙。

答案1

好吧,你肯定陷入了某种混乱。首先,你不要在 Exchange 服务器、DC 或实际上任何具有其他角色的机器上安装 CA。这是灾难的收据。CA 的正确设置是,你选择一个服务器作为你的根服务器(最好是离线根 CA),以及第二台服务器作为您的中间 CA,以满足其他需求。

你这样做是为了,如果中间 CA 出现问题(就像你的 CA 发生的情况一样),你可以从根 CA 中撤销它并构建一个新的,而不会出现太多问题。

现在,您尚未指定您部署的 CA 类型(独立的 AD 集成),但是,从您描述的问题来看,我认为它是 AD 集成的。

假设以上内容正确,您的情况如下:您有一个用于颁发证书的 CA,该 CA 现在已被禁用。您的所有计算机都使用该 CA 进行自动证书注册,并且您进一步使用这些证书进行身份验证。

现在,如果你已经正确设置了系统,你应该做的是:撤销根上的旧中间 CA,发布新的证书吊销列表,安装另一个中间 CA 并重新颁发证书。您可能还必须使用 ADSI edit 重新定位注册服务 LDAP 条目。

就你的情况而言,你不能这样做。你必须尝试执行移民您的权限(假设您仍然可以访问链接到根 CA 的私钥或可以恢复它)或者以新的权限从头开始。

如果您决定创建新的权限,您应该执行以下操作:

  • 如果您不能为根 CA 和中间 CA 使用不同的服务器,至少要指定一台机器作为根 CA。您还可以选择使用 OpenSSL 创建根 CA,并使用该 CA 签署 AD 集成的中间 CA,但请注意,您必须不时为该根 CA 手动生成新的 CRL(但是,您可以在同一台机器上安装该根 CA,前提是您对其进行了适当的保护)。我会使用新的服务器名称来确保您不会混淆新旧根 CA(这可能会导致问题和混乱),但如果您愿意,也可以重复使用相同的名称。
  • 有了新的 CA 层次结构后,使用组策略将新的根证书分发到域中的所有计算机。将根证书添加到“受信任的根证书颁发机构”存储区,将中间 CA 添加到“中间证书颁发机构”存储区(第二步主要是预防措施)。
  • 在本地强制取消信任旧 CA。为此,使用组策略将公共证书添加到“不受信任的证书”存储中。
  • 将注册服务重新定位到您的新服务器。为此,使用 adsiedit 导航到配置 / 服务 / 公钥服务 / 注册服务并删除对旧 CA 服务器的引用(新服务器应该已在那里注册)。
  • 重新颁发所有您需要的证书。如果您已正确设置 CA,则任何使用自动注册的证书都将从新 CA 自动重新生成,旧证书将被丢弃。除非您确定这些证书未用于加密,否则请勿从客户端计算机/帐户中删除它们。

(PS:首先,不要因为没有正确设置而感到太难过:CA 管理很难,而且很容易出错。MS 使证书服务的安装变得如此简单和快捷,这让事情变得更容易搞砸:除非你确切知道自己在做什么,否则你注定会在第一次就出错)。

相关内容