Windows 域控制器布置企業(yè)CA 故障分析

■ 湖北 楊華

編者按：如今很多企業(yè)自己內(nèi)部做安全認證來配置CA證書，在配置CA 過程中可能會出現(xiàn)各種問題。本文對部分該類問題進行了深入剖析。

在Windows服務(wù)器操作維護中，證書CA的安裝布置是一個非常重要的內(nèi)容。隨著各行各業(yè)安全意識的増強，大中小企業(yè)都需要布置自己的證書系統(tǒng)或購買專業(yè)的證書。如果是企業(yè)內(nèi)部做安全認證的話，完全可以選擇自己搭建，經(jīng)濟適用。以下筆者結(jié)合自己的工作經(jīng)歷，對在自己布置CA 的過程中出現(xiàn)的故障作深入的剖析。

圖1 域樹結(jié)構(gòu)圖

工作場景

如圖1 域樹結(jié)構(gòu)圖所示，需要在子域控制器A3 或成員控制器A2 上布置企業(yè)CA。其實，根據(jù)Windows 服務(wù)器的操作文檔，在A1 上布置基本的企業(yè)CA 很簡單，但到了具體的工作環(huán)境，問題出現(xiàn)了，如下所示。

證書CA 服務(wù)的安裝

當(dāng)分別在服務(wù)器A2 和A3 上安裝CA，當(dāng)配置到CA的設(shè)置類型時，只有“獨立CA”是可選的，“企業(yè)”CA 竟然是灰色，不可選的。

安裝提示：使用企業(yè)CA的用戶要求必須是域成員，并且通常處于練級狀態(tài)以頒發(fā)證書或證書策略。

有很多用戶都納悶了？服務(wù)器A2 和A3 都配置了Active Directory（AD，活動目錄），一個是子域，一個是域成員，都符合要求，為什么在A2 和A3 上不能安裝，而在主域控制器A1 上就可以順利安裝？

首先來簡單了解一下CA的兩類型：企業(yè)CA 和獨立CA。企業(yè)CA：

1.企業(yè)CA 安裝時需要AD，即計算機在活動目錄中才可以。

2.當(dāng)安裝企業(yè)根時，對于域中的所用計算機，它都將會自動添加到受信任的根證書頒發(fā)機構(gòu)的證書存儲區(qū)域。

3.安裝憑證：必須以Enterprise Admins 組和根域的Domain Admins 組的成員帳戶登錄。

獨立CA ：

1.CA 安裝時不需要AD。

2.一般情況下，發(fā)送到獨立CA 的所有證書申請都被設(shè)置為掛起狀態(tài)，需要管理員受到頒發(fā)。這完全出于安全性的考慮，因為證書申請者的憑證還沒有被獨立CA驗證。

從以上內(nèi)容不難看出，企業(yè)CA 更適合大批量的證書的布置，且必須有AD 活動目錄服務(wù)支持。最重要的是安裝憑證必須是Enterprise Admins 組和根域的Domain Admins 組的成員帳戶登錄。這兩個組只有主域控制器下才有（在A2 和A3 上找不到這兩個組）。問題找到了，筆者迅速拿出以下解決方案：

1.以主域控制器A1 上的管理員身份登錄到子域控制器A3 或A2 上。

2.在主域控制器A1 上將子域控制器A3 或成員服務(wù)器A2 的管理員加入到Enterprise Admins 組和根域的Domain Admins 組。

原理：主域控制器A1 好比企業(yè)總部，子域控制器A3好比企業(yè)分部，如果這時企業(yè)分部要進行一項人事任免，要么總部派人來委任（這就比好方案1），要么授權(quán)分部進行任免（這就好比方案2）。

注意：CA 服務(wù)器需要與IIS 的配合，建議IIS 與CA 在一起安裝，集成度更高，不建議分開安裝，可能出現(xiàn)一些額外的故障。

客戶端的證書CA 的申請

當(dāng)企業(yè)CA 安裝成功后，在客戶端打開瀏覽器，輸入CA 服務(wù)器的URL 地址，即可打開證書申請頁面。在訪問時需要輸入用戶名和密碼，此時輸入任意一個域用戶賬戶即可。

注意，如果客戶端無法正常打開CA 的證書申請頁面，并且出現(xiàn)了以下錯誤提示信息：

應(yīng)用程序“DEFAULT WEB SITE/CERTSRV”中的服務(wù)器錯誤

HTTP 錯誤403.14-Forbi dden，Web 服務(wù)器被配置為不列出此目錄的內(nèi)容。

在后面的錯誤信息中顯示物理路徑“C:Windowssystem32CertSrv”。

因為正常訪問是可以通過網(wǎng)址http://localhost/certsrv，所以我們誤以為它的物理地址就是”certsrv”。其實這只是一個虛擬目錄，真正的物理路徑應(yīng)該是“C:Windowssystem32CertSrvzh-CN”，只要在原來的地址（IIS 配置中的物理地址）后面加上zh-CN 即可。

下面列舉部分在后面的申請過程中出現(xiàn)的故障及解決辦法。

故障1

顯示“找不到證書模板，您沒有從該的CA 申請證書的權(quán)限或訪問Active Direc tory 時出錯”。

當(dāng)用戶試圖在從證書頒發(fā)機構(gòu)（CA）Web 登記頁申請證書時，用戶可能會收到以上錯誤消息。

分析解決：登錄驗證，需要用域用戶登錄才行。

故障2

您的證書申請被拒絕，您的申請ID 為xxxx(數(shù)字)。部署消息為“分析申請出現(xiàn)錯誤ASN1 遇到了不正確的標記值。0x8009310b(ASN:267)”。

分析解決：提交的保存的申請文檔（Base-64 編碼的證書申請）格式不符，注意要精準復(fù)制那個證書文本文件中的所有內(nèi)容。

故障3

“在服務(wù)器處理您的申請時出現(xiàn)錯誤，您的申請ID 為13。部署消息為‘構(gòu)造或發(fā)布證書時出現(xiàn)錯誤’”。

當(dāng)提交證書申請時登錄到證書服務(wù)器出現(xiàn)以上錯誤提示。

分析解決：證書服務(wù)器未啟動，或需要重新啟動。（提示能夠訪問http://local host/certsrv/，并不代表證書服務(wù)器啟動，只有在提交證書申請的時候才會訪問證書服務(wù)器，在“管理工具”選項中有一項“證書服務(wù)”，看是否啟動正常。）

故障4

證書申請成功并下載后，在IIS 中配置HTTPS 時，但“SSL 證書”窗口中沒有證書。

分析解決：這是因為在IIS 的證書配置服務(wù)中，還要進行“完成證書申請”，把下載的證書關(guān)聯(lián)到一個好記的名稱，這樣它就會出現(xiàn)在“SSL 證書”窗口中供用戶選擇了。

故障5

與故障4 一樣，但此時已完成證書下載，在IIS 的服務(wù)器證書里可以看到證書。

分析解決：在申請證書時有很多模板，我們此時申請的證書應(yīng)該是“Web 服務(wù)器”模板，但系統(tǒng)默認的是“用戶”模板，如果沒有更改，則我們下申請的就是“用戶”證書，當(dāng)然不會出現(xiàn)在“SSL證書”窗口選項中了。只有重新選擇正確的模板再做一次證書即可。