maaboo
23-12-2013, 14:47
Я пытаюсь развернуть PKI на как можно большее количество задач. В том числе и EFS. Сделал я следующее:
1. Создал шаблон V2 "Custom EFS" на базе "Basic EFS", поставил разрешения read/enroll/autoenroll для Authenticated Users, указал архивировать ключ, опубликовал его.
2. Создал пользователя по имени "EFS Recovery Agent", дал ему права Domain Admins.
3. Создал шаблон V2 "Custom EFS Recovery Agent", поставил разрешения read/enroll/autoenroll для пользователя "EFS Recovery Agent", опубликовал его.
4. Зашёл под пользователем "Custom EFS Recovery Agent" на выдающий CA, получил сертификат.
5. В Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Public Key Policies \ Encryption File System вызвал мастера добавления агента восстановления и установил сертификат.
И проблема возникла, когда я решил настроить агента восстановления на CA. Я вызвал certsrv, вызвал свойства, зашёл на вкладку Recovery Agents, нажал Add и появившемся окне написано:
No certificate available
No certificates meet the application criteria
То есть CA не видит сертификата, который я успешно до этого поставил через групповую политику. Я перезагружался, перезапускал службу — не видит.
Все действия я производил на одной и той же машине: Enterprise Subordinate CA, то есть варианты с уехавшими не туда ключами и сертификатами отпадает.
В списках выданных сертификат на восстановление значится, а вот в Failed Requests куча записей:
Cannot archive private key. The certification authority is not configured for key archival.
Что я где пропустил?
1. Создал шаблон V2 "Custom EFS" на базе "Basic EFS", поставил разрешения read/enroll/autoenroll для Authenticated Users, указал архивировать ключ, опубликовал его.
2. Создал пользователя по имени "EFS Recovery Agent", дал ему права Domain Admins.
3. Создал шаблон V2 "Custom EFS Recovery Agent", поставил разрешения read/enroll/autoenroll для пользователя "EFS Recovery Agent", опубликовал его.
4. Зашёл под пользователем "Custom EFS Recovery Agent" на выдающий CA, получил сертификат.
5. В Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Public Key Policies \ Encryption File System вызвал мастера добавления агента восстановления и установил сертификат.
И проблема возникла, когда я решил настроить агента восстановления на CA. Я вызвал certsrv, вызвал свойства, зашёл на вкладку Recovery Agents, нажал Add и появившемся окне написано:
No certificate available
No certificates meet the application criteria
То есть CA не видит сертификата, который я успешно до этого поставил через групповую политику. Я перезагружался, перезапускал службу — не видит.
Все действия я производил на одной и той же машине: Enterprise Subordinate CA, то есть варианты с уехавшими не туда ключами и сертификатами отпадает.
В списках выданных сертификат на восстановление значится, а вот в Failed Requests куча записей:
Cannot archive private key. The certification authority is not configured for key archival.
Что я где пропустил?