Windows 域控制器布置企業(yè)CA 故障分析

■ 湖北 楊華

編者按：如今很多企業(yè)自己內(nèi)部做安全認(rèn)證來(lái)配置CA證書，在配置CA 過(guò)程中可能會(huì)出現(xiàn)各種問(wèn)題。本文對(duì)部分該類問(wèn)題進(jìn)行了深入剖析。

在Windows服務(wù)器操作維護(hù)中，證書CA的安裝布置是一個(gè)非常重要的內(nèi)容。隨著各行各業(yè)安全意識(shí)的増強(qiáng)，大中小企業(yè)都需要布置自己的證書系統(tǒng)或購(gòu)買專業(yè)的證書。如果是企業(yè)內(nèi)部做安全認(rèn)證的話，完全可以選擇自己搭建，經(jīng)濟(jì)適用。以下筆者結(jié)合自己的工作經(jīng)歷，對(duì)在自己布置CA 的過(guò)程中出現(xiàn)的故障作深入的剖析。

圖1 域樹(shù)結(jié)構(gòu)圖

工作場(chǎng)景

如圖1 域樹(shù)結(jié)構(gòu)圖所示，需要在子域控制器A3 或成員控制器A2 上布置企業(yè)CA。其實(shí)，根據(jù)Windows 服務(wù)器的操作文檔，在A1 上布置基本的企業(yè)CA 很簡(jiǎn)單，但到了具體的工作環(huán)境，問(wèn)題出現(xiàn)了，如下所示。

證書CA 服務(wù)的安裝

當(dāng)分別在服務(wù)器A2 和A3 上安裝CA，當(dāng)配置到CA的設(shè)置類型時(shí)，只有“獨(dú)立CA”是可選的，“企業(yè)”CA 竟然是灰色，不可選的。

安裝提示：使用企業(yè)CA的用戶要求必須是域成員，并且通常處于練級(jí)狀態(tài)以頒發(fā)證書或證書策略。

有很多用戶都納悶了？服務(wù)器A2 和A3 都配置了Active Directory（AD，活動(dòng)目錄），一個(gè)是子域，一個(gè)是域成員，都符合要求，為什么在A2 和A3 上不能安裝，而在主域控制器A1 上就可以順利安裝？

首先來(lái)簡(jiǎn)單了解一下CA的兩類型：企業(yè)CA 和獨(dú)立CA。企業(yè)CA：

1.企業(yè)CA 安裝時(shí)需要AD，即計(jì)算機(jī)在活動(dòng)目錄中才可以。

2.當(dāng)安裝企業(yè)根時(shí)，對(duì)于域中的所用計(jì)算機(jī)，它都將會(huì)自動(dòng)添加到受信任的根證書頒發(fā)機(jī)構(gòu)的證書存儲(chǔ)區(qū)域。

3.安裝憑證：必須以Enterprise Admins 組和根域的Domain Admins 組的成員帳戶登錄。

獨(dú)立CA ：

1.CA 安裝時(shí)不需要AD。

2.一般情況下，發(fā)送到獨(dú)立CA 的所有證書申請(qǐng)都被設(shè)置為掛起狀態(tài)，需要管理員受到頒發(fā)。這完全出于安全性的考慮，因?yàn)樽C書申請(qǐng)者的憑證還沒(méi)有被獨(dú)立CA驗(yàn)證。

從以上內(nèi)容不難看出，企業(yè)CA 更適合大批量的證書的布置，且必須有AD 活動(dòng)目錄服務(wù)支持。最重要的是安裝憑證必須是Enterprise Admins 組和根域的Domain Admins 組的成員帳戶登錄。這兩個(gè)組只有主域控制器下才有（在A2 和A3 上找不到這兩個(gè)組）。問(wèn)題找到了，筆者迅速拿出以下解決方案：

1.以主域控制器A1 上的管理員身份登錄到子域控制器A3 或A2 上。

2.在主域控制器A1 上將子域控制器A3 或成員服務(wù)器A2 的管理員加入到Enterprise Admins 組和根域的Domain Admins 組。

原理：主域控制器A1 好比企業(yè)總部，子域控制器A3好比企業(yè)分部，如果這時(shí)企業(yè)分部要進(jìn)行一項(xiàng)人事任免，要么總部派人來(lái)委任（這就比好方案1），要么授權(quán)分部進(jìn)行任免（這就好比方案2）。

注意：CA 服務(wù)器需要與IIS 的配合，建議IIS 與CA 在一起安裝，集成度更高，不建議分開(kāi)安裝，可能出現(xiàn)一些額外的故障。

客戶端的證書CA 的申請(qǐng)

當(dāng)企業(yè)CA 安裝成功后，在客戶端打開(kāi)瀏覽器，輸入CA 服務(wù)器的URL 地址，即可打開(kāi)證書申請(qǐng)頁(yè)面。在訪問(wèn)時(shí)需要輸入用戶名和密碼，此時(shí)輸入任意一個(gè)域用戶賬戶即可。

注意，如果客戶端無(wú)法正常打開(kāi)CA 的證書申請(qǐng)頁(yè)面，并且出現(xiàn)了以下錯(cuò)誤提示信息：

應(yīng)用程序“DEFAULT WEB SITE/CERTSRV”中的服務(wù)器錯(cuò)誤

HTTP 錯(cuò)誤403.14-Forbi dden，Web 服務(wù)器被配置為不列出此目錄的內(nèi)容。

在后面的錯(cuò)誤信息中顯示物理路徑“C:Windowssystem32CertSrv”。

因?yàn)檎ＴL問(wèn)是可以通過(guò)網(wǎng)址http://localhost/certsrv，所以我們誤以為它的物理地址就是”certsrv”。其實(shí)這只是一個(gè)虛擬目錄，真正的物理路徑應(yīng)該是“C:Windowssystem32CertSrvzh-CN”，只要在原來(lái)的地址（IIS 配置中的物理地址）后面加上zh-CN 即可。

下面列舉部分在后面的申請(qǐng)過(guò)程中出現(xiàn)的故障及解決辦法。

故障1

顯示“找不到證書模板，您沒(méi)有從該的CA 申請(qǐng)證書的權(quán)限或訪問(wèn)Active Direc tory 時(shí)出錯(cuò)”。

當(dāng)用戶試圖在從證書頒發(fā)機(jī)構(gòu)（CA）Web 登記頁(yè)申請(qǐng)證書時(shí)，用戶可能會(huì)收到以上錯(cuò)誤消息。

分析解決：登錄驗(yàn)證，需要用域用戶登錄才行。

故障2

您的證書申請(qǐng)被拒絕，您的申請(qǐng)ID 為xxxx(數(shù)字)。部署消息為“分析申請(qǐng)出現(xiàn)錯(cuò)誤ASN1 遇到了不正確的標(biāo)記值。0x8009310b(ASN:267)”。

分析解決：提交的保存的申請(qǐng)文檔（Base-64 編碼的證書申請(qǐng)）格式不符，注意要精準(zhǔn)復(fù)制那個(gè)證書文本文件中的所有內(nèi)容。

故障3

“在服務(wù)器處理您的申請(qǐng)時(shí)出現(xiàn)錯(cuò)誤，您的申請(qǐng)ID 為13。部署消息為‘構(gòu)造或發(fā)布證書時(shí)出現(xiàn)錯(cuò)誤’”。

當(dāng)提交證書申請(qǐng)時(shí)登錄到證書服務(wù)器出現(xiàn)以上錯(cuò)誤提示。

分析解決：證書服務(wù)器未啟動(dòng)，或需要重新啟動(dòng)。（提示能夠訪問(wèn)http://local host/certsrv/，并不代表證書服務(wù)器啟動(dòng)，只有在提交證書申請(qǐng)的時(shí)候才會(huì)訪問(wèn)證書服務(wù)器，在“管理工具”選項(xiàng)中有一項(xiàng)“證書服務(wù)”，看是否啟動(dòng)正常。）

故障4

證書申請(qǐng)成功并下載后，在IIS 中配置HTTPS 時(shí)，但“SSL 證書”窗口中沒(méi)有證書。

分析解決：這是因?yàn)樵贗IS 的證書配置服務(wù)中，還要進(jìn)行“完成證書申請(qǐng)”，把下載的證書關(guān)聯(lián)到一個(gè)好記的名稱，這樣它就會(huì)出現(xiàn)在“SSL 證書”窗口中供用戶選擇了。

故障5

與故障4 一樣，但此時(shí)已完成證書下載，在IIS 的服務(wù)器證書里可以看到證書。

分析解決：在申請(qǐng)證書時(shí)有很多模板，我們此時(shí)申請(qǐng)的證書應(yīng)該是“Web 服務(wù)器”模板，但系統(tǒng)默認(rèn)的是“用戶”模板，如果沒(méi)有更改，則我們下申請(qǐng)的就是“用戶”證書，當(dāng)然不會(huì)出現(xiàn)在“SSL證書”窗口選項(xiàng)中了。只有重新選擇正確的模板再做一次證書即可。