Большая Проходила (3apa3a_b_ta3e) wrote in ru_sysadmins,
Большая Проходила
3apa3a_b_ta3e
ru_sysadmins

Category:

Windows Enterprise Root CA, несколько вопросов

Есть доменный CA на Windows, постепенно с годами мигрировал от 2003 до 2012R2. Да, изначально был на CSP и SHA1, недавно мигрировал на KSP и SHA256, ещё не всё устаканилось. Выписывает сертификаты для сервера терминалов, подписи rdp-файлов и кастомных обновлений WSUS, локальных https-серверов.

1. Есть два сервера терминалов, 2008R2 и 2012R2. В 2008 сертификат для RDP TLS легко выбирается в настройках (система ищет его в личных сертификатах компьютера), а вот с 2012 проблема - в окне настройки нельзя выбрать существующий сертификат из локального хранилища, "радиобатон" серый. Дословно там написано - "Apply the certificate that is stored on the RD Connection Broker server". Подозреваю, что в 2012 сертификат должен храниться где-то в другом месте, но где? Или он вообще не смотрит в локальное хранилище? Вот тут у человека аналогичная проблема, но предложенное решение в виде "экспорт сертификата в файл, импорт в wizard" меня бесит - это надо менять темплэйт, чтобы приватный ключ экспортировать, то-сё, лишние телодвижения.
UPD: Опытным путём выяснил, что если обновить сертификат через mmc (в моём случае - с новым ключом) и перегрузиться - он подхватывается автоматически. А хотелось бы без перезагрузки, этож RDS, "вы что, здесь же люди!"(с)

2. Есть web-морда https://localhost/certsrv, где можно запросить сертификат. В списке Certificate Template есть разные варианты, но нет кастомных темплейтов, даже тех, которые были сдублированы с предустановленных. При запросе сертификата через mmc мне говорят, что "на этот темплэйт нет нужных разрешений". Вкладка Security на новых темплейтах и на предустановленных идентична. Где ему ещё сказать, что можно выписывать?
UPD: Темплейт V3 всему виной, почему его не видно в web-морде. А в mmc помогла установка прав Enroll на Domain Computers.

3. Надо ли что-то делать с шарой CertConfig? Я почитал, что это legacy code, но у меня этой шары на сервере уже нет, а в свойствах сервера (на вкладке Storage) она фигурирует. И при обновлении сертификата Root CA на неё ругалось. Это страшно?
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 5 comments