Вопрос по выбору типа издающего CA.
Нами разработано и запускается в опытную эксплуатацию web-приложение, предназначенное не для публичного доступа, а только для наших клиентов. Web-сервер с этим приложением расположен у нас. Планируется настроить этот сервер только на https и для доступа к нему вручную выдавать клиентам сертификаты на срок, определенный договором с ними. В настоящее время у нас нет домена. Все компьютеры, в т. ч. сервера, работают в рабочей группе. Можно ли для стоящей задачи развернуть PKI без создания домена в нашей организации, установив только Offline Standalone Root CA и Standalone Policy/Issuing CA?

Нет, Kerberos поверх HTTP не планируется. Планируется сертификатная аутентификация на нашем сайте. В настройках web-сервера IIS будут исключены все способы аутентификации, кроме SSL. Для сайта на этом сервере, на котором работает наше web-приложение, планируется создать и установить в него сертификат. А для доступа к этому сайту для каждого пользователя (нашего клиента) будем создавать персональные сертификаты пользователей, которые они должны будут установить в свой браузер, либо в eToken.

Когда я говорил, что web-сервер с нашим web-приложением расположен у нас, имел в виду что он территориально находится в нашем офисе. Но при этом он выставлен в интернет. А клиенты наши территориально могут находиться где угодно, и будут пользоваться нашим web-приложением входя на наш сайт так же через интернет.

Сертификаты пользователей обязательно должны быть присоединены к учетным записям? Нет никакой возможности сделать так, чтобы сервер просто проверял сертификат на валидность (корневой CA доверенный, срок действия не истек, не отозван): сертификат действительный - одобрить подключение, не действительный - отклонить?

То есть получается, что в принципе, можно и не привязывать сертификат к учетным записям. Но тогда на сайт сможет зайти любой, предъявивший действительный клиентский сертификат, причем не обязательно выданный нашим CA. Однако, в своем web-приложении мы можем определить с каким именно клиентским сертификатом вошли на сайт и таким образом аутентифицировать и авторизовать пользователя на уровне нашего приложения. А если бы мы сделали привязку сертификатов к учетным записям, то на сайт смогли бы войти только предъявившие клиентский сертификат, привязанный к какой-то нашей учетной записи, то есть аутентификация и авторизация прошла бы на уровне IIS. Я правильно понимаю?

Есть мнение что в CApoliсy.inf некоторые значения нужно указывать в шестнадцатеричном формате, потому что половина параметров не применяется во время установки ЦС. http://technet.microsoft.com/ru-ru/library/cc775815%28WS.10%29.aspx

[certsrv_server]
renewalkeylength=2048
RenewalValidityPeriodUnits=0x18
RenewalValidityPeriod=years
CRLPeriod = days
CRLPeriodUnits = 2
CRLDeltaPeriod = hours
CRLDeltaPeriodUnits = 4

RenewalValidityPeriodUnits из файла capolicy.inf не применяется 100%, остальные не проверял.

Еще хотелось бы уточнить, а для чего нужно делать certutil -dspublish -f C:\CertData\Adatum_RCA.crt RootCA ? Я так понимаю что это нужно для публикации сертификата в АД, но не совсем понимаю для чего это нужно и как это будет работать. Можно ли пнуть в нужное направление? :)

Спасибо.

Столкнулся с ситуацией что сервер в домене под Windows Server 2008 R2 SP1 Enterprise с установленным Enterprise CA (Root) нельзя повысить до контроллера домена (пока уровня 2003), хотя роль Directory Service ставится, но ругается DCpromo что есть роль CA. Что теперь наоборот (по стравнению с Windows 2000) роль Active Directory Domain Services не ставится рядом с ролью Active Directory Certificate Services? Обойти можно это? Спасибо за интересный блог.

Огромное спасибо за внятный ответ. А то Internet по этому поводу забит всякой ерундой.
Дело в том что ни 1) ни 2) ни 4) я делать в ближайшие годы не собирают, т.к. домен новый, а на CA лежат 5 несчастных сертификатов для одного ПО. Если придётся менять имя домена, то я думаю CA просто убъют и сделают новый, а имя ПК тоже навечно (другие сервисы, принтеры например). Если делать отдельно CA, то это означает виртуализировать BL460c G7 - уж лучше его нагрузить. Если дело только в именах. то это для меня ерунда, но вопрос в другом. Что значит - "не говорите, что я не предупреждал вас": есть ещё известные ошибки типа как в вашей заметке "OCSP на Windows Server 2008 R2" http://www.sysadmins.lv/PermaLink,guid,b0079f99-da21-4c42-8db4-51ab55d8fd83.aspx.
Если таких багов много и Microsoft отказывается о них заботиться, то я суваться в эту историю с совмещением ролей не хочу. Что Вы слышали об этом?

Проделал процедуру для добавления роли Domain Controller на сервер с CA. Может кому пригодиться.
Дано: сервер W8K R2 Ent SP1 как просто сервер в домене с поднятой ролью Active Directory Certificate Services Enterprise
(роль содержит службы Certification Autothority + Certification Autothority Web Enrollment + Online Responder + Network Device Enrollment Service). После установки роли Active Directory Domain Service и попытке запуска Dcpromo для поднятия сервера до контроллера домена, мастер говорит что это невозможно, т.к. стоит роль AD Certificate Services
Последовательность шагов для на одном сервере роли CA и DC
1. Классический Backup CA (приватный ключ CA в файл *.pfx или *.p12, БД сертификатов, ключ реестра в файл [HKLM\SYSTEM\CurrentControlSet\services\CertSvc\Configuration]
2. Удалить роль Active Directory Certificate Services (без предварительной чистки AD, большая часть настроек СА останется в домене по пути ADSIedit\Configuration\Services\Public Key Services
3. После перезагрузки добавить роль Active Directory Domain Service и, запустив dcpromo, поднять сервер до DC
4. После перезагрузки добавить Certification Autothority\ службу Certification Autothority, указав сохранённый ключ центра сертификации из файла *.pfx или *.p12
5. После перезагрузки добавить Certification Autothority\ службу Certification Autothority Web Enrollment.
Но сразу она не поставится – мастер установки службы роли вывалится с ошибкой “Сannot install Certification Authority Web Enrollment. Active Directory Certificate Services setup failed with the following error: The parameter is incorrect. 0x80070057 (WIN32: 87)“. Нужно изменить значение в реестре HKLM\System\CurrentControlSet\Services\CertSvc\Configuration\SetupStatus на 0x6001 (было dword 00006003)
6. Добавить Certification Autothority\ службу Online Responder
- Это делать не надо http://www.sysadmins.lv/PermaLink,guid,b0079f99-da21-4c42-8db4-51ab55d8fd83.aspx
(ошибка была только в RTM, но знать это стоит) – все настроится само.
7. Попробовать добавить Certification Autothority\ службу NDES
- при установке будет ошибки:
Если указать доменную учётку - This account is not a member of the local machine's ISS_IUSRS group. The specified user account is not a member of the specified group account. 0x80070529 (WIN32: 1321)
Если указать встроенную учётку - Application Pool Identity account cannot send authenticated certificate request to a local Enterprise CA. Specify a user account. The access code is invalid. 0x8007000c (WIN32: 12)
Нужно: Включить видимость на контроллере домена локальной группы IIS_IUSRS выполнив в командной строке под администратором скрипт *.js (тело скрипта взять здесь http://support.microsoft.com/?kbid=946139 и перегрузиться). Затем добавить в эту группу доменную учётку типа Domain\serviceNDES и установить службу NDES указав эту именно её. У меня эта учётка – та под которой работаю я как Domain Admins. Иначе установка пройдёт, но при открытии web-сайта NDES будет такая ошибка: “Service Unavailable. HTTP Error 503. The service is unavailable”. Но теперь сайт открывается только под моей учёткой. Под другими - You do not have sufficient permission to enroll with SCEP. Вопрос к знающим - какие права дать Domain\serviceNDES ?

Дополнение к предыдущему посту:
Если не работает запрос сертификатов из консоли The RPC server is unavailable
1) В группу CERTSVC_DCOM_ACCESS добавить недостающих:
The Domain Users group
The Domain Computers group
The Domain Controllers group
2) выполнить команду certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG и перезапустить службу CA, без перезагрузки сервера и клиентов.
взято отсюда http://social.technet.microsoft.com/Forums/ru-RU/ws2008ru/thread/c717967a-b356-461f-883c-34b0aa667618