January 27th, 2016

Buddah

Windows Enterprise Root CA, несколько вопросов

Есть доменный CA на Windows, постепенно с годами мигрировал от 2003 до 2012R2. Да, изначально был на CSP и SHA1, недавно мигрировал на KSP и SHA256, ещё не всё устаканилось. Выписывает сертификаты для сервера терминалов, подписи rdp-файлов и кастомных обновлений WSUS, локальных https-серверов.

1. Есть два сервера терминалов, 2008R2 и 2012R2. В 2008 сертификат для RDP TLS легко выбирается в настройках (система ищет его в личных сертификатах компьютера), а вот с 2012 проблема - в окне настройки нельзя выбрать существующий сертификат из локального хранилища, "радиобатон" серый. Дословно там написано - "Apply the certificate that is stored on the RD Connection Broker server". Подозреваю, что в 2012 сертификат должен храниться где-то в другом месте, но где? Или он вообще не смотрит в локальное хранилище? Вот тут у человека аналогичная проблема, но предложенное решение в виде "экспорт сертификата в файл, импорт в wizard" меня бесит - это надо менять темплэйт, чтобы приватный ключ экспортировать, то-сё, лишние телодвижения.
UPD: Опытным путём выяснил, что если обновить сертификат через mmc (в моём случае - с новым ключом) и перегрузиться - он подхватывается автоматически. А хотелось бы без перезагрузки, этож RDS, "вы что, здесь же люди!"(с)

2. Есть web-морда https://localhost/certsrv, где можно запросить сертификат. В списке Certificate Template есть разные варианты, но нет кастомных темплейтов, даже тех, которые были сдублированы с предустановленных. При запросе сертификата через mmc мне говорят, что "на этот темплэйт нет нужных разрешений". Вкладка Security на новых темплейтах и на предустановленных идентична. Где ему ещё сказать, что можно выписывать?
UPD: Темплейт V3 всему виной, почему его не видно в web-морде. А в mmc помогла установка прав Enroll на Domain Computers.

3. Надо ли что-то делать с шарой CertConfig? Я почитал, что это legacy code, но у меня этой шары на сервере уже нет, а в свойствах сервера (на вкладке Storage) она фигурирует. И при обновлении сертификата Root CA на неё ругалось. Это страшно?