Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
Ошибка при установке роли AD CS (W2K8SE + CryptoPro 3.6 4071 KC1)
 Татьяна |
|
|
Статус: Сотрудник Группы: Участники
Зарегистрирован: 06.02.2008(UTC) Поблагодарили: 40 раз в 37 постах |
Выбирайте «ГОСТ Р 34.34-2001 Cryptographic Service Provider» . Разница в названии. Преимущество «ГОСТ Р 34.34-2001 Cryptographic Service Provider» в том, что если удалите КС1 и поставите КС2 не придется переустанавливать сертификаты. |
|
Татьяна |
|
 |
|
|
Мария |
|
|
Статус: Новичок Группы: Участники Зарегистрирован: 27.04.2010(UTC) |
Большое спасибо! |
|
|
|
|
Максим Коллегин |
|
|
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сказал «Спасибо»: 21 раз |
Исправление для R2 http://support.microsoft.com/kb/978034 (установка на существующих ключах) |
|
Знания в базе знаний, поддержка в техподдержке |
|
|
|
WWW |
|
BlackRaven |
|
|
Статус: Активный участник Группы: Участники
Зарегистрирован: 22.09.2011(UTC) Сказал «Спасибо»: 3 раз |
Добрый день |
|
|
WWW |
|
Максим Коллегин |
|
|
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сказал «Спасибо»: 21 раз |
Нужно ставить hotfixы, они в этой теме проскакивали. |
|
Знания в базе знаний, поддержка в техподдержке |
|
|
|
WWW |
|
adv |
|
|
Статус: Участник Группы: Участники
Зарегистрирован: 04.10.2012(UTC) Сказал(а) «Спасибо»: 1 раз |
Возникла такая же проблема как у топик стартера. После установки чек бокса? во время развертывания роли выскочило окошко с просьбой вставить дискету. Установка CA завершилась той же ошибкой. Ключи хранить будем в хранилищах Windows, сейчас разворачиваем тестовую среду для проверок. Что надо настроить в CSP чтобы все таки закончить установку CA? Код: |
|
|
|
|
adv |
|
|
Статус: Участник Группы: Участники Зарегистрирован: 04.10.2012(UTC) Сказал(а) «Спасибо»: 1 раз |
О, методом научного тыка победил. Оставив в считывателях только Реестр. |
|
|
|
|
dmitry_el |
|
|
Статус: Участник Группы: Участники
Зарегистрирован: 06.07.2010(UTC) Поблагодарили: 2 раз в 1 постах |
Автор: Седов Роман Microsoft выпустил исправление по этому поводу. Добрый день! |
|
|
|
|
Максим Коллегин |
|
|
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сказал «Спасибо»: 21 раз |
Это было уже очень давно — какая проблема возникает? |
|
Знания в базе знаний, поддержка в техподдержке |
|
|
|
WWW |
| Пользователи, просматривающие эту тему |
|
Guest |
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
Ошибка при установке роли AD CS (W2K8SE + CryptoPro 3.6 4071 KC1)
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
- Remove From My Forums
Удаление Центра сертификации
-
Вопрос
-
Имеем Server 2008 он же один из контролеров домена, на нем был поднят Центр сертификации. В журнале имеем такую запись об ошибке:
Службам сертификации Active Directory не удалось найти требуемые данные реестра. Возможно, потребуется переустановка служб сертификации Active Directory.
Удалить центр сертификации не удается (собственно он и не нужен сертификаты не выдавались), потому как после запуска удаления роли и перезагрузки машины появляется сообщение об ошибки удаления Центра сертификации:
Ошибка: Не удалось удалить [Службы сертификации Active Directory] Центр сертификации. Не удалось выполнить отмену установки Certification Authority, код ошибки 0x80070643. В процессе установки произошла неисправимая ошибка
Ошибка: не удалось удалить одну или несколько ролей, служб ролей или компонентов. Ознакомьтесь с дополнительными сведениями в журнале диспетчера сервера и повторите попытку.Как снести Центр сертификации?
Ответы
-
Dcpromo для удаления, но запись в Active Directory о центре сертификации все равно останется и придется вычищать вручную через ADSI…
- Помечено в качестве ответа
15 июля 2013 г. 14:58
- Помечено в качестве ответа
- Remove From My Forums
Install-ADcsCertificationAuthority : Active Directory Certificate Services setup failed with the following error: No attempts to start the service have been made since the last boot
-
Question
-
I attempted to install an offline root ca via the following command:
Install-ADcsCertificationAuthority ` -OverwriteExistingKey ` <#In the case of a re-installation#> ` -CACommonName ` "LAB Corporate Root CA" ` -CADistinguishedNameSuffix ` ‘O=LAB Inc.,C=US’ ` -CAType ` StandaloneRootCA ` -CryptoProviderName ` "RSA#Microsoft Software Key Storage Provider" ` -HashAlgorithmName ` SHA256 ` -KeyLength ` 2048 ` -ValidityPeriod ` Years ` -ValidityPeriodUnits ` 20 ` -DatabaseDirectory ` ‘E:CADataCertDB’ ` -LogDirectory ` ‘E:CADataCertLog ’
When running the command it threw this error:
Install-ADcsCertificationAuthority : Active Directory Certificate Services setup failed with the following error: No attempts to start the service have been made since the last boot. 0x80070435 (WIN32: 1077) At line:1 char:1 + Install-ADcsCertificationAuthority ` + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (:) [Install-AdcsCertification Authority], CertificationAuthoritySetupException + FullyQualifiedErrorId : Install,Microsoft.CertificateServices.Deployment .Commands.CA.InstallADCSCertificationAuthorityIt looks like it did install though because when I run the command again it tells me the role is already installed and I have to uninstall it first.
Answers
-
It worked when I did the following:
ran Add-WindowsFeature AD-Certificate first (before I ran
install-WindowsFeature AD-Certificate)- I would be confused if this was what the issue was because add-windowsfeature is supposed to have been deprecated.Changed SHA256 to SHA1 (this is a lab so I obviously don’t have any security policies involving encryption algorithms I have to enforce)
- Marked as answer by
Monday, October 14, 2013 10:51 PM
- Marked as answer by
- Remove From My Forums
Install-ADcsCertificationAuthority : Active Directory Certificate Services setup failed with the following error: No attempts to start the service have been made since the last boot
-
Question
-
I attempted to install an offline root ca via the following command:
Install-ADcsCertificationAuthority ` -OverwriteExistingKey ` <#In the case of a re-installation#> ` -CACommonName ` "LAB Corporate Root CA" ` -CADistinguishedNameSuffix ` ‘O=LAB Inc.,C=US’ ` -CAType ` StandaloneRootCA ` -CryptoProviderName ` "RSA#Microsoft Software Key Storage Provider" ` -HashAlgorithmName ` SHA256 ` -KeyLength ` 2048 ` -ValidityPeriod ` Years ` -ValidityPeriodUnits ` 20 ` -DatabaseDirectory ` ‘E:CADataCertDB’ ` -LogDirectory ` ‘E:CADataCertLog ’
When running the command it threw this error:
Install-ADcsCertificationAuthority : Active Directory Certificate Services setup failed with the following error: No attempts to start the service have been made since the last boot. 0x80070435 (WIN32: 1077) At line:1 char:1 + Install-ADcsCertificationAuthority ` + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (:) [Install-AdcsCertification Authority], CertificationAuthoritySetupException + FullyQualifiedErrorId : Install,Microsoft.CertificateServices.Deployment .Commands.CA.InstallADCSCertificationAuthorityIt looks like it did install though because when I run the command again it tells me the role is already installed and I have to uninstall it first.
Answers
-
It worked when I did the following:
ran Add-WindowsFeature AD-Certificate first (before I ran
install-WindowsFeature AD-Certificate)- I would be confused if this was what the issue was because add-windowsfeature is supposed to have been deprecated.Changed SHA256 to SHA1 (this is a lab so I obviously don’t have any security policies involving encryption algorithms I have to enforce)
- Marked as answer by
Monday, October 14, 2013 10:51 PM
- Marked as answer by
Я перенес свой центр сертификации корпоративных служб Active Directory на новый сервер (и с Windows 2003 R2 x86 на Windows 2008 R2 x64). У меня были проблемы с проверкой списков отзыва сертификатов, но я переиздал списки отзыва из корневого центра сертификации, и когда я запускаю certutil -urlfetch -verify, я больше не получаю никаких ошибок:
Verified Issuance Policies: None
Verified Application Policies: All
Cert is a CA certificate
Leaf certificate revocation check passed
CertUtil: -verify command completed successfully.
Но я все еще получаю те же ошибки при попытке запустить CA. Я получаю следующее всплывающее окно:
Microsoft Active Directory Certificate Services
---------------------------
The system cannot find the file specified. 0x2 (WIN32: 2)
The policy module for a CA is missing or incorrectly registered. To view or change
policy module settings, right-click on the CA, click Properties, and then click the
Policy Module tab.
---------------------------
OK
и я получаю следующую ошибку в журнале:
Log Name: Application
Source: Microsoft-Windows-CertificationAuthority
Date: 26/06/2012 15:59:45
Event ID: 100
Task Category: None
Level: Error
Keywords: Classic
User: SYSTEM
Computer: SRV112.cobbsch.cobbetts.co.uk
Description:
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. Cobbetts LLP Enterprise CA The system cannot find the file specified. 0x80070002 (WIN32: 2).
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-CertificationAuthority" Guid="{6A71D062-9AFE-4F35-AD08-52134F85DFB9}" EventSourceName="CertSvc" />
<EventID Qualifiers="49754">100</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2012-06-26T14:59:45.000000000Z" />
<EventRecordID>852</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>SRV112.cobbsch.cobbetts.co.uk</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData Name="MSG_E_CA_CERT_INVALID">
<Data Name="CACommonName">Cobbetts LLP Enterprise CA</Data>
<Data Name="ErrorCode">The system cannot find the file specified. 0x80070002 (WIN32: 2)</Data>
</EventData>
</Event>
У Microsoft есть документация по этой ошибке: http://technet.microsoft.com/en-us/library/cc774550(v=ws.10).aspx
Но документация просто говорит о том, что цепочка ЦС не проверяется, что и есть сейчас.
Мне было интересно, был ли это какой-то сбой в кэше или копия неверного CRL в кэше (ранее я перенес корневой CA и мне пришлось повторно опубликовать CRL, прежде чем certutil проверит правильность), поэтому я попытался перезагрузить компьютер, чтобы очистить его. тайники
Это ничего не изменило.
Я также попытался запустить Certutil как SYSTEM, чтобы увидеть, была ли проблема с разрешениями, и это тоже не решило проблему.
[Для запуска в качестве системы: запустите psexec -i -s cmd.exe из командной строки с повышенными правами, и она запустится как системная. Вы можете запустить Whoami, чтобы проверить.]
2012-06-26 15:29
5
ответов
Решение
Я решил эту проблему с поддержкой Microsoft, но я не совсем понял, что они сделали, чтобы решить эту проблему.
Откопайте заметки о поддержке Microsoft, в надежде, что они кому-нибудь пригодятся:
- Мы обнаружили, что CRL в папке certenroll отсутствует для проверки статуса отзыва из корневого центра сертификации.
- Мы скопировали CRL из промежуточного ЦС в выдающий суб-ЦС, но все равно получили ошибку.
- По словам инженера команды отладки мы удалили и переустановили роли ADCS, но это не помогло.
- Наконец, мы нашли в HKLMsystemCurrentControlSetServicesCertsvc Registry Registry CertHash были более старые значения для сертификатов с истекшим сроком действия.
- Удалил старые значения хэшей, заменил их знаками (-) и запустил службу сертификации.
- Служба сертификации запущена успешно.
2012-07-29 07:34
У меня была такая же ошибка. Я использовал аппаратный модуль безопасности от nCipher. ADCS не смог получить доступ к своему секретному ключу. Похоже, что при запуске службы ADCS это делает некоторый тест среди тех, кто проверяет закрытый ключ. Итак, я настроил свой HSM соответственно. Теперь это работает!!!
odi9
07 ноя ’12 в 13:47
2012-11-07 13:47
2012-11-07 13:47
Недавно я выполнил миграцию с 2003 на 2012 R2, и у меня была та же самая проблема, которую вы описали. CA будет восстанавливаться и запускаться нормально, пока я не импортирую резервную копию реестра из старого CA.
После разговора с Microsoft и нескольких часов устранения неполадок мы нашли решение. Я не нашел эту страницу во время поисковика, но вот она:
Служба сервера сертификатов не запускается, и вы получаете сообщение об ошибке: Данные недействительны. 0xd (Win32: 13) в центре сертификации на основе Windows 2003
В основном, имеется сертификат с истекшим сроком действия или сертификат, в котором отсутствует закрытый ключ в CAcerthash ключ реестра. В моем случае это был просроченный сертификат.
Для того, чтобы решить проблему
-
Откройте сертификат в
mmcи выберите компьютер. -
Откройте магазин личных сертификатов.
-
Ищите сертификаты, которые либо не отображают значок закрытого ключа, либо у которых истек срок действия.
-
Откройте сертификат и обратите внимание на отпечаток в деталях боли. Вам нужно будет сопоставить это с отпечатками, присутствующими в вашем
CAcerthashреестр. -
Получив отпечатки пальцев, проверьте реестр CA certhash на наличие отсутствующего или устаревшего отпечатка сертификата и замените значения отпечатка знаком минус —
-
Сохраните раздел реестра и попытайтесь запустить центр сертификации.
Это сработало для меня, так что, надеюсь, кто-то еще считает это полезным
Joe
29 мар ’17 в 20:36
2017-03-29 20:36
2017-03-29 20:36
Я столкнулся с подобной проблемой с подчиненным ЦС, который был обновлен с Windows 2008 R2 до 2012 R2. К счастью, я только что создал новый корневой CA с Server 2012 R2, с которым я мог бы сопоставить параметры реестра. Оказалось, что некоторые значения в ключе HKLMsystemCurrentControlSetServicesCertSvcConfigurationCSP обновленного компьютера не совпадают с компьютером 2012 R2. В частности, отсутствует «CNGPublicKeyAlgorithm = RSA», «Необходимый поставщик» заменен на «Поставщик хранилища ключей программного обеспечения Microsoft», а «ProviderType» — с 1 на 0. После внесения этих изменений службы сертификации смогли запускаться без ошибок.
brandon
12 ноя ’15 в 18:23
2015-11-12 18:23
2015-11-12 18:23
Эта ошибка может возникнуть, если вы изменили SKU ОС. Например, перешел с 2003 Enterprise на 2008 R2 Standard Edition. Вы не упоминаете SKU вместе с деталями ОС.
Если предположить, что это не так, то для устранения неполадок вам нужно собрать следующее
- procmon ( http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx) запуска службы вместе с
- дамп реестра HKLMsystemcurrentcontrolsetcertsvc и
- журнал отладки certsvc. «certutil -setreg cadebug 0xffffffe3» включит журнал отладки в%SystemRoot%Certsrv.log
включите журнал отладки, запустите procmon и попытайтесь запустить службу. Остановите procmon при сбое запуска службы.
Если вы поделитесь ими где-нибудь, я могу посмотреть.
maweeras
21 июл ’12 в 20:43
2012-07-21 20:43
2012-07-21 20:43
Обновлено 15.06.2017
Добрый день уважаемые читатели, сегодня хочу рассказать как решается вот такая ошибка Службы сертификации Active Directory не запущены: Не удается загрузить или проверить текущий сертификат ЦС. IssueCrmCA «Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен. 0x80092013 (-2146885613)». Из-за этой ошибки не открывался сам центр выдачи сертификатов, и как следствие не работал Web выпуск, давайте рассмотрим, как это устраняется и исправим это дело.
Сервер отзыва сертификатов недоступен
И так давайте опишу ситуацию, есть у нас в компании для своих внутренних нужд Цент сертификации, развертывал я его на Windows Server 2008 r2 и мы с вами его уже даже лечили от ошибки Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС. В один из дней пишет мой коллега и говорит, что у него не стартует служба, так как он был загружен, он попросил посмотреть, что там. И так заходим на сервер с Windows Server 2008 r2 и в пункте администрирование открываем оснастку Центр Сертификации. Он во первых долго открывался, так как пытался рестартовать службу, после чего появилась оснастка с квадратиком на значке, означающем, что он выключен. Вы области описания было вот такое сообщение.
Невозможно получить результаты от остановленной службы. Запустите службу сертификации
Попытавшись из оснастки запустить его, выскочила ошибка уже с кодом, что уже хорошо так как можно понять причину и как следствие найти решение.
Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен. 0x80092013 (-2146885613)
Если зайти в просмотр событий в журнал Приложения, то сможете найти сообщение с кодом события 48, который вам выдаст туже ошибку.
Как видите все они ругаются на недоступность сертификата в цепочке сертификатов, CRL, или как его еще называют списка отозванных. Открываем пуст и вводим mmc, для открытия оснастки. (Я уже рассказывал как создать мега мощную и удобную консоль mmc, почитайте будет очень полезно)
Нажимаем CTRL+M для добавления оснастки.
Вам нужно добавить две оснастки
- PKI предприятия
- Учетной записи компьютера
Выбираем локальный компьютер, так как мы сейчас на центре сертификации.
Как видите в PKI предприятии мы видим, красный предупреждающий значок. Но в начале давайте откроем сам сертификат издающего, центра сертификации. Для этого открываем пункт Личное и сам серт. Во вкладке Состав находим строку Точки распространения списка отзыва и смотрим адрес, в моем случае это http://crl.aetp.ru/crl/RootCrmCA.crl. Пробуем открыть этот адрес. У меня он не открывался, так как с этой виртуальной машины убрали внешний ip адрес, который и отвечал за этот адрес. http://crl.aetp.ru/crl/ располагался как сайт IIS, а сама папка crl лежала у меня в корне диска C данного центра сертификации.
В итоге у вас два варианта
- Восстановить внешний ip адрес или развернуть данный адрес на другом сервере
- Либо локально в файле Hosts прописать, что crl.aetp.ru это локальный ip данного сервера, что я и сделал.
Пробуем пропинговать внешнее имя, щас все ок, запускаем CA. Видим, что ошибка опять выскочила ошибка Не удается загрузить или проверить текущий сертификат ЦС. IssueCrmCA Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен. 0x80092013 (-2146885613) пропала, но появилась уже другая, что у вас просрочен CDP crl, и действительно его срок кончился.
Идем на root CA открываем оснастку Центра сертификации и в пункте Отозванные сертификаты щелкаем правым кликом > Все задачи > Публикация. Чтобы у вас сформировался новый список отозванных, появится он в папке C:WindowsSystem32certsrvCertEnroll. Его от туда нужно скопировать в папку где у вас лежат на издающем Центре сертификации crl файлы. После этого
Все видим в консоли подхватился новый crl список отозванных.
Все видим и PKI предприятие показывает, что вся цепочка жива.
Вот так вот просто решить ошибку Службы сертификации Active Directory не запущены: Не удается загрузить или проверить текущий сертификат ЦС. IssueCrmCA Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен. 0x80092013 (-2146885613). А вообще я подумываю написать цикл статей, о том как работает и устанавливается Центр сертификации в Windows Server 2008 r2 и 2012 r2, но все зависит от свободного времени.
Hi,
I am trying to install certificate services on a windows 2008 server (R2 ENT SP1) with a PCIe nCipher HSM module installed on it. The version of nCipher SW is = 11.30. It is a RootCA, and I am trying to use a key that is already stored in the HSM (I
have done this before with a PCI HSM (older HW version)). I select “Use existing private key” and “Select an existing private key on this computer” on the wizard, then i change the CSP to nCipher and click on «search» the key I am looking for
appears and I select that one. I repeat, I have done this before and it works with a PCI HSM module.
The installation is finished before being prompted to insert the operator cards, and it ends with two errors:
<Error>: Active Directory Certificate Services setup failed with the following error: Overlapped I/O operation is in progress. 0x800703e5 (WIN32: 997)
And:
<Error>: Active Directory Certificate Services setup failed with the following error: The group or resource is not in the correct state to perform the requested operation.
0x8007139f (WIN32: 5023)
The servermanager.log says:
1856: 2014-07-23 18:27:48.195 [CAManager] Sync: Validity period units: Years
1856: 2014-07-23 18:27:48.928 [Provider] Error (Id=0) System.Runtime.InteropServices.COMException (0x800703E5): CCertSrvSetup::Install: Overlapped I/O operation is in progress. 0x800703e5 (WIN32: 997)
at Microsoft.CertificateServices.Setup.Interop.CCertSrvSetupClass.Install()
at Microsoft.Windows.ServerManager.CertificateServer.CertificateServerRoleProvider.Configure(InstallableFeatureInformation featureInfo, DiscoveryResult discoveryResult, ChangeTracker changeTracker)
1856: 2014-07-23 18:27:48.928 [Provider] CAErrorID: 0, CAErrorString: ‘Active Directory Certificate Services setup failed with the following error: Overlapped I/O operation is in progress.
0x800703e5 (WIN32: 997)’
1856: 2014-07-23 18:27:48.928 [Provider] Adding error message.
1856: 2014-07-23 18:27:48.928 [Provider] [STAT] For ‘Certification Authority’:
And:
1856: 2014-07-23 18:27:49.053 [CAWebProxyManager] Sync: Initializing defaults
1856: 2014-07-23 18:27:49.162 [Provider] Error (Id=0) System.Runtime.InteropServices.COMException (0x8007139F): CCertSrvSetup::Install: The group or resource is not in the correct state to perform the requested operation. 0x8007139f (WIN32: 5023)
at Microsoft.CertificateServices.Setup.Interop.CCertSrvSetupClass.Install()
at Microsoft.Windows.ServerManager.CertificateServer.CertificateServerRoleProvider.Configure(InstallableFeatureInformation featureInfo, DiscoveryResult discoveryResult, ChangeTracker changeTracker)
1856: 2014-07-23 18:27:49.162 [Provider] CAErrorID: 0, CAErrorString: ‘Active Directory Certificate Services setup failed with the following error: The group or resource is not in the correct
state to perform the requested operation. 0x8007139f (WIN32: 5023)’
1856: 2014-07-23 18:27:49.162 [Provider] Adding error message.
Has anyone experienced this before? Am I missing something here?
Any help will be very appreciated
Thanks in advance
Best regards
Alejandro Lozano Villanueva
-
Edited by
Wednesday, July 23, 2014 3:06 PM
Я перенес свой центр сертификации корпоративных служб Active Directory на новый сервер (и с Windows 2003 R2 x86 на Windows 2008 R2 x64). У меня были проблемы с проверкой списков отзыва сертификатов, но я переиздал списки отзыва из корневого центра сертификации, и когда я запускаю certutil -urlfetch -verify, я больше не получаю никаких ошибок:
Verified Issuance Policies: None
Verified Application Policies: All
Cert is a CA certificate
Leaf certificate revocation check passed
CertUtil: -verify command completed successfully.
Но я все еще получаю те же ошибки при попытке запустить CA. Я получаю следующее всплывающее окно:
Microsoft Active Directory Certificate Services
---------------------------
The system cannot find the file specified. 0x2 (WIN32: 2)
The policy module for a CA is missing or incorrectly registered. To view or change
policy module settings, right-click on the CA, click Properties, and then click the
Policy Module tab.
---------------------------
OK
и я получаю следующую ошибку в журнале:
Log Name: Application
Source: Microsoft-Windows-CertificationAuthority
Date: 26/06/2012 15:59:45
Event ID: 100
Task Category: None
Level: Error
Keywords: Classic
User: SYSTEM
Computer: SRV112.cobbsch.cobbetts.co.uk
Description:
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. Cobbetts LLP Enterprise CA The system cannot find the file specified. 0x80070002 (WIN32: 2).
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-CertificationAuthority" Guid="{6A71D062-9AFE-4F35-AD08-52134F85DFB9}" EventSourceName="CertSvc" />
<EventID Qualifiers="49754">100</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2012-06-26T14:59:45.000000000Z" />
<EventRecordID>852</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>SRV112.cobbsch.cobbetts.co.uk</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData Name="MSG_E_CA_CERT_INVALID">
<Data Name="CACommonName">Cobbetts LLP Enterprise CA</Data>
<Data Name="ErrorCode">The system cannot find the file specified. 0x80070002 (WIN32: 2)</Data>
</EventData>
</Event>
У Microsoft есть документация по этой ошибке: http://technet.microsoft.com/en-us/library/cc774550(v=ws.10).aspx
Но документация просто говорит о том, что цепочка ЦС не проверяется, что и есть сейчас.
Мне было интересно, был ли это какой-то сбой в кэше или копия неверного CRL в кэше (ранее я перенес корневой CA и мне пришлось повторно опубликовать CRL, прежде чем certutil проверит правильность), поэтому я попытался перезагрузить компьютер, чтобы очистить его. тайники
Это ничего не изменило.
Я также попытался запустить Certutil как SYSTEM, чтобы увидеть, была ли проблема с разрешениями, и это тоже не решило проблему.
[Для запуска в качестве системы: запустите psexec -i -s cmd.exe из командной строки с повышенными правами, и она запустится как системная. Вы можете запустить Whoami, чтобы проверить.]
2012-06-26 15:29
5
ответов
Решение
Я решил эту проблему с поддержкой Microsoft, но я не совсем понял, что они сделали, чтобы решить эту проблему.
Откопайте заметки о поддержке Microsoft, в надежде, что они кому-нибудь пригодятся:
- Мы обнаружили, что CRL в папке certenroll отсутствует для проверки статуса отзыва из корневого центра сертификации.
- Мы скопировали CRL из промежуточного ЦС в выдающий суб-ЦС, но все равно получили ошибку.
- По словам инженера команды отладки мы удалили и переустановили роли ADCS, но это не помогло.
- Наконец, мы нашли в HKLMsystemCurrentControlSetServicesCertsvc Registry Registry CertHash были более старые значения для сертификатов с истекшим сроком действия.
- Удалил старые значения хэшей, заменил их знаками (-) и запустил службу сертификации.
- Служба сертификации запущена успешно.
2012-07-29 07:34
У меня была такая же ошибка. Я использовал аппаратный модуль безопасности от nCipher. ADCS не смог получить доступ к своему секретному ключу. Похоже, что при запуске службы ADCS это делает некоторый тест среди тех, кто проверяет закрытый ключ. Итак, я настроил свой HSM соответственно. Теперь это работает!!!
odi9
07 ноя ’12 в 13:47
2012-11-07 13:47
2012-11-07 13:47
Недавно я выполнил миграцию с 2003 на 2012 R2, и у меня была та же самая проблема, которую вы описали. CA будет восстанавливаться и запускаться нормально, пока я не импортирую резервную копию реестра из старого CA.
После разговора с Microsoft и нескольких часов устранения неполадок мы нашли решение. Я не нашел эту страницу во время поисковика, но вот она:
Служба сервера сертификатов не запускается, и вы получаете сообщение об ошибке: Данные недействительны. 0xd (Win32: 13) в центре сертификации на основе Windows 2003
В основном, имеется сертификат с истекшим сроком действия или сертификат, в котором отсутствует закрытый ключ в CAcerthash ключ реестра. В моем случае это был просроченный сертификат.
Для того, чтобы решить проблему
-
Откройте сертификат в
mmcи выберите компьютер. -
Откройте магазин личных сертификатов.
-
Ищите сертификаты, которые либо не отображают значок закрытого ключа, либо у которых истек срок действия.
-
Откройте сертификат и обратите внимание на отпечаток в деталях боли. Вам нужно будет сопоставить это с отпечатками, присутствующими в вашем
CAcerthashреестр. -
Получив отпечатки пальцев, проверьте реестр CA certhash на наличие отсутствующего или устаревшего отпечатка сертификата и замените значения отпечатка знаком минус —
-
Сохраните раздел реестра и попытайтесь запустить центр сертификации.
Это сработало для меня, так что, надеюсь, кто-то еще считает это полезным
Joe
29 мар ’17 в 20:36
2017-03-29 20:36
2017-03-29 20:36
Я столкнулся с подобной проблемой с подчиненным ЦС, который был обновлен с Windows 2008 R2 до 2012 R2. К счастью, я только что создал новый корневой CA с Server 2012 R2, с которым я мог бы сопоставить параметры реестра. Оказалось, что некоторые значения в ключе HKLMsystemCurrentControlSetServicesCertSvcConfiguration\CSP обновленного компьютера не совпадают с компьютером 2012 R2. В частности, отсутствует «CNGPublicKeyAlgorithm = RSA», «Необходимый поставщик» заменен на «Поставщик хранилища ключей программного обеспечения Microsoft», а «ProviderType» — с 1 на 0. После внесения этих изменений службы сертификации смогли запускаться без ошибок.
brandon
12 ноя ’15 в 18:23
2015-11-12 18:23
2015-11-12 18:23
Эта ошибка может возникнуть, если вы изменили SKU ОС. Например, перешел с 2003 Enterprise на 2008 R2 Standard Edition. Вы не упоминаете SKU вместе с деталями ОС.
Если предположить, что это не так, то для устранения неполадок вам нужно собрать следующее
- procmon ( http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx) запуска службы вместе с
- дамп реестра HKLMsystemcurrentcontrolsetcertsvc и
- журнал отладки certsvc. «certutil -setreg cadebug 0xffffffe3» включит журнал отладки в%SystemRoot%Certsrv.log
включите журнал отладки, запустите procmon и попытайтесь запустить службу. Остановите procmon при сбое запуска службы.
Если вы поделитесь ими где-нибудь, я могу посмотреть.
maweeras
21 июл ’12 в 20:43
2012-07-21 20:43
2012-07-21 20:43
Ошибка “Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory” обычно связана с отсутствием прав доступа к шаблонам сертификатов в службе удостоверений (Certification Authority – CA) на сервере Active Directory.
Чтобы решить эту проблему, выполните следующие действия:
- Убедитесь, что у пользователя есть права на запрос сертификата.
- Убедитесь, что права на чтение для объектов “Шаблоны сертификатов” на сервере CA установлены для пользователя.
- Убедитесь, что права на чтение для объектов “Публикация в AD DS” на сервере CA установлены для пользователя.
- Проверьте, что пользователь имеет права на чтение и запись в контейнер Active Directory.
Если все перечисленные выше действия были выполнены, но проблема остается, попробуйте повторно запустить службу удостоверений на сервере Active Directory.
Если это не поможет, обратитесь к администратору службы удостоверений на сервере Active Directory для получения дополнительной помощи в настройке прав доступа.
Шаблон сертификата не найден. У вас нет прав для запроса сертификата в этом ЦС, или при доступе к Active Directory произошла ошибка.
Я сразу подумал, что служба CA глупая, и пошел на сервер, чтобы перезапустить ее. Перезапуск не помог, и я начал искать в средстве просмотра событий ошибок, первое, с чем я столкнулся, это ошибка.
В стандартном модуле политики Windows метод Initialize возвратил ошибку. Объект или собственность не найдены. Код состояния вернул 0x80092004 (-2146885628). Политика служб сертификации Active Directory не содержит действительных шаблонов сертификатов.
было получено несколько ошибок.
Проблема служб сертификации Active Directory Сертификат CRMCA (№ 0) не существует в хранилище сертификатов CN = NTAuthCertificates, CN = Public Key Services, CN = Services в контейнере конфигурации Active Directory. Репликация каталога невозможна.
И зайдя в сам центр сертификации в шаблонах сертификатов, ошибка Не удалось загрузить информационный элемент шаблона не обнаружен.
Когда я впервые увидел это, я начал читать. Вроде бы решение составлено. Мы делаем резервную копию наших ключей и выданных сертификатов. Щелкните ЦС правой кнопкой мыши и выберите Все задачи – Хранилище ЦС.
Откроется мастер резервного копирования центра сертификации. Нажмите “Далее.
Установите флажки «Закрытый ключ», «Сертификат ЦС» и «База данных сертификатов». Указываем каталог для бэкапа.
Ставим пароль на архив.
Готовый. У нас есть все резервные копии.
В итоге получится файл.
Теперь нам нужно удалить центр сертификации, перейти в диспетчер серверов и нажать «Удалить роль.
Посмотрим на нашу роль
Снимите флажок и щелкните.
Щелкните Удалить.
После удаления нажмите «Закрыть» и перезапустите.
Мы удалили ЦС и перезагрузились. Теперь переустановим центр сертификации.
Напомню, что такой же ЦС стоит на Windows Server 2008R2, но я уверен, что решение подойдет и для 2012 R2.
Откройте Диспетчер серверов и щелкните Добавить роль.
Выбор служб сертификации Active Directory.
Дальше.
Ставим галки в Центре сертификации и Службе регистрации в Центре сертификации.
Оставьте тип Enterprise.
Подчиненный CA.
Настроим использование существующего приватного ключа.
Выбираем наш старый ключ и жмем Далее.
Выбираем каталоги установки.
Установить.
После установки нажмите «Закрыть.
Откройте оснастку центра сертификации.
Переходим к шаблонам сертификатов и видим, что шаблоны теперь появились.
Теперь, если вы зайдете в конфигурацию схемы, вы увидите, что наш ЦС появился
Теперь нам нужно восстановить все выданные и отозванные сертификаты, перейти в оснастку Certification Authority и нажать на все задачи – CA Restore
Появится предупреждение о том, что служба будет остановлена, нажмите ок.
Откроется мастер восстановления центра сертификации, нажмите «Далее.
Выбрав наш архив
Готовый.
И запускаем наш CA.
Обновлено 02.08.2016
CA Active Directory
Всем привет, ранее мы рассмотрели ошибку Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-1 часть. Мы удалили CA и перезагрузились. Теперь давайте заново поставим центр сертификации.
Напомню, что сам CA у меня находится на Windows Server 2008R2, но уверен, что решение подходит и для 2012 R2.
Открываем диспетчер серверов, и нажимаем Добавить роль.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-16
Выбираем Службы сертификации Active Directory.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-17
Далее.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-18
Ставим галки на Центр Сертификации и Служба регистрации в центре сертификации.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-19
Оставляем тип Предприятие.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-20
Подчиненный ЦС.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-21
Ставим использовать существующий закрытый ключ.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-22
Выбираем наш старый ключ и жмем далее.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-23
Выбираем каталоги установки.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-24
Установить.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-25
После установки жмем закрыть.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-26
Открываем оснастку Центр сертификации.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-27
Переходим в шаблоны сертификатов, и видим, что шаблоны теперь появились.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-28
Теперь если зайти в конфигурацию схемы видно, что наш CA появился
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-29
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-30
Теперь нам нужно восстановить все выпущенные и отозванные сертификаты, Идем в оснастку Центр сертификации и жмем все задачи-Восстановление ЦС
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-31
Выскочит предупреждение, что сейчас будет остановлена служба, жмем ок.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-32
Откроется мастер восстановления центра сертификации, жмем далее.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-33
Выбираем наш архив
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-34
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-35
Готово.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-36
И запускаем наш CA.
Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory-37
Вот так вот решается ошибка Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС, или произошла ошибка доступа к Active Directory.
Материал сайта pyatilistnik.org