Автоматическая подача заявок на сертификаты в ОС Windows XP

Поддерживаемое оборудование

В данном разделе приводится список смарт-карт и считывателей смарт-карт, поддержка которых осуществляется по умолчанию в ОС Windows 2000 и ОС Windows Server 2003.

Таблица 1 – Считыватели смарт-карт

Таблица 2 – Смарт-карты

Наверх страницы

Устранение проблем в работе

В  данном разделе рассматриваются возможные действия, которых необходимо придерживаться при решении проблем в работе процесса автоматической подачи заявки. Кроме того описывается, что необходимо делать для того, чтобы быть готовым к сбоям в автоматической подаче заявки, а также приводится в качестве примера список сообщений службы регистрации событий.

Важные моменты

При решении проблем с процессом автоматической подачи заявки необходимо помнить следующее:

Клиенты центра сертификации Windows XP и Windows Server 2003 в качестве функции безопасности всегда используют связь с контроллерами домена по LDAP. Перед развертыванием автоматической подачи заявки или центра сертификации Windows Server 2003 необходимо установить третий пакет обновлений (SP3) на всех контроллерах домена, на которых используется ОС Windows 2000.

При автоматической подаче заявки из службы каталогов Active Directory автоматически загружаются корневые и перекрестные сертификаты каждый раз, когда обнаруживается изменение в каталоге, или когда осуществляется связь с другим контроллером домена. Если сторонний корневой сертификат или перекрестный сертификат будет удален из хранилища локального компьютера, то при автоматической подаче заявки он не будет загружен снова до тех пор, пока не возникнут изменения в службе каталогов Active Directory или пока не будет установлена связь с новым контроллером домена.

Чтобы вручную инициировать новую загрузку удалите следующие ключи в реестре и все зависимые ключи:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\AutoEnrollment\AEDirectoryCache

Шифрованная файловая система EFS всегда пытается подать заявку на базовый шаблон шифрования EFS. Драйвер EFS генерирует запрос автоматической подачи заявки, который автоматическая подача заявки пытается выполнить. Для тех получателей, которые желают убедиться в том, что для EFS используется особый шаблон (например, включающий архивацию ключа), новый шаблон должен заменить шаблон базового шифрования EFS. Этим гарантируется то, что процесс автоматической подачи заявок больше не будет пытаться выполнять заявку на базовое шифрование EFS.

Вход в систему со смарт-картой и шаблон пользователя со смарт-картой версии 1 могут не обновляться с помощью автоматической подачи заявок. Для обновления входа в систему со смарт-картой или шаблона пользователя со смарт-картой версии 1 необходимо замещение этих шаблонов шаблонами версии 2.

Сбой в процессе автоматической подачи заявок

В случае возникновения сбоя в процессе выполнении автоматической подачи заявок пользователь увидит предупреждающее диалоговое окно. Это произойдет только в том случае, если в шаблоне сертификата будет содержаться требование интерактивного взаимодействия с пользователем.

Для разрешения появления предупреждающего сообщения при возникновении ошибки во время выполнения автоматической подачи заявки:

Повторная инициализация смарт-карт

Если процесс подачи заявки на сертификат основывается на существующем сертификате смарт-карты, и если была выполнена повторная инициализация смарт-карты, появится диалоговое окно, которое предложит пользователю вставить карту, соответствующую контейнеру ключа, определенного старым сертификатом. Поскольку контейнер ключа был удален, диалоговое окно не исчезнет, несмотря на то, что пользователь вынул и снова вставил карточку. Единственное, что можно сделать в этом случае – нажать кнопку Отмена (Сancel), что приведет к неудачному завершению подачи заявки.

Расширенная регистрация событий

По умолчанию процесс автоматической подачи заявки ведет запись всех ошибок/сбоев и успешно выполненных подач заявок, произошедших на клиентском компьютере, в журнале событий приложений.

Для включения расширенной регистрации событий процесса автоматической подачи заявки, необходимо создать следующие значения в системном реестре:

В случае автоматической подачи заявки пользователем

В разделе: HKEY_CURRENT_USER\Software\Microsoft\Cryptography\Autoenrollment создайте новый параметр DWORD с названием “AEEventLogLevel" и установите его значение в 0.

В случае автоматической подачи заявки компьютером

В разделе: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Autoenrollment создайте новый параметр DWORD с названием "AEEventLogLevel" и установите его значение в 0.

Примечание. Все сбои и ошибки регистрируются автоматически. Для регистрации ошибок не нужно изменять значение ключа реестра.

Сообщения журнала событий

Сообщения, приведенные ниже, появляются только при включении расширенной регистрации событий.

Сообщения журнала событий при успешной работе

Ниже приведены сообщения журнала событий, указывающие на отсутствие проблем.

Описание: Автоматическая подача заявки для локального компьютера начата.

Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/default.aspx?scid=fh;EN-US;kbhowto&sd=GN&ln=EN-US&FR=0.

Описание: Автоматическая подача заявки для локального компьютера завершена.

Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/default.aspx?scid=fh;EN-US;kbhowto&sd=GN&ln=EN-US&FR=0.

Описание: Автоматическая подача заявок на сертификат для вошедшего в систему пользователя была отменена.

Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/default.aspx?scid=fh;EN-US;kbhowto&sd=GN&ln=EN-US&FR=0.

Описание: Автоматическая подача заявки на сертификат HAYBUV\User1: успешно установлен сертификат AutoEnrollSmart cardEmail при извлечении отложенных запросов. Потребовалось взаимодействие с пользователем.

Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/.

Описание: Автоматическая подача заявки на сертификат HAYBUV\USER1: закрытый ключ был использован повторно при запросе одного сертификата AutoEnrollSmart cardUser.

Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/.

Описание: Автоматическая подача заявки на сертификат HAYBUV\USER1: успешно обновлен один сертификат AutoEnrollSmart cardUser из центра сертификации TestCA на Sevrer1.haybuv.com.

Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/.

Описание: Автоматическая подача заявки на сертификат HAYBUV\user1: закрытый ключ был использован повторно при запросе одного сертификата Autoenroll Smart card User

Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/.

Примечание. Эта запись означает, что закрытый ключ был использован во время обновления сертификата.

Сообщения журнала событий об ошибках

Ниже приведены сообщения журнала событий, указывающие на возникшие проблемы.

Описание: Автоматическая подача заявки на сертификат Haybuv\User1 не удалось связаться с каталогом Active Directory (0x8007054b). Указанный домен не существует или к нему невозможно подключится. Подача заявки выполнена не будет.

Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/.

Примечание. Такая ошибка чаще всего возникает в том случае, когда пользователь входит в систему с кэшированными учетными данными на компьютере, не подключенному к сети. Поэтому автоматическая подача заявки не может продолжаться и будет выполнена позже.

Описание: Автоматическая подача заявки на сертификат локального компьютера: не удалось связаться с сервером каталога (0x80072751). Сделана попытка выполнить операцию на сокете для недоступного хоста. Подача заявки выполнена не будет.

Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/default.aspx?scid=fh;EN-US;kbhowto&sd=GN&ln=EN-US&FR=0.

Примечание. Эта ошибка чаще всего возникает в том случае, когда контроллер домена невозможно обнаружить или он недоступен для клиента. Наиболее вероятные причины этого: ошибки в работе сети, сбой сетевого подключения и т.д.

Описание: Автоматическая подача заявки на сертификат локального компьютера: не удалось подать заявку на один сертификат HAYBUV IPSEC (0x800706ba). Сервер RPC недоступен.

Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/.

Примечание. Эта ошибка чаще всего возникает, когда центр сертификации недоступен в сети или служба остановлена.

Описание: Автоматическая подача заявки на сертификат локального компьютера: не удалось подать заявку на один сертификат HAYBUV IPSEC (0x8009400f). Была сделана попытка открыть сеанс работы с базой данных центра сертификации, но с ней работало уже слишком много сеансов. Возможно, следует увеличить максимальное число сеансов одновременной работы с сервером.

Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/.

Примечание. Такое событие встречается очень редко при сильной загруженности центра сертификации, когда он не может ответить. Позже будет выполнена повторная попытка автоматической подачи заявки.

Описание: Автоматическая подача заявки на сертификат локального компьютера: не удалось обновить один сертификат HAYBUV IPSEC (0x8009400f). Была сделана попытка открыть сеанс работы с базой данных центра сертификации, но с ней работало уже слишком много сеансов. Возможно, следует увеличить максимальное число сеансов одновременной работы с сервером.

Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/.

Примечание. Эта ошибка аналогична предыдущей, но относится к обновлению. 

Описание: Автоматическая подача заявки на сертификат HAYBUV\USER1: не удается выполнить подачу заявки на шаблон сертификата Агента восстановления ключей (Key Recovery Agent) по одной из следующих причин:

Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/default.aspx?scid=fh;EN-US;kbhowto&sd=GN&ln=EN-US&FR=0.

Примечание. Данная ошибка автоматической подачи заявки возникает тогда, когда у пользователя установленны сертификат и закрытый ключ, соответствующие шаблону, срок действия которого в данный момент истекает. Автоматическая подача заявки на сертификат пытается автоматически обновить сертификат, однако у пользователя нет соответствующих разрешений для использования этого шаблона, и таким образом не удается выполнить автоматическую подачу заявки. Автоматическая подача заявки использует как сертификаты в хранилище, так и настройки шаблонов сертификатов. 

Описание: Автоматическая подача заявки на сертификат HAYBUV\user1: не удается выполнить подачу заявки на один сертификат Autoenroll smart card user (0x80094812). Имя электронной почты недоступно и его невозможно добавить в имя субъекта или в дополнительное имя субъекта.

Для получения дополнительной информации посетите веб-узел Службы помощи и поддержки (Help and Support Services) (EN) - http://support.microsoft.com/.

Примечание. Данная ошибка возникает тогда, когда в учетной записи пользователя в Active Directory неверно указан адрес электронной почты (на странице свойств пользователя в оснастке Active Directory - пользователи и компьютеры (Active Directory Users and Computers) консоли MMC). Для выполнения подачи заявки на шаблоны сертификатов в Active Directory необходим существующий адрес электронной почты.

Средства анализа журнала событий

В ОС Windows XP включено новое средство (сценарий) анализа событий локального компьютера. Этот сценарий можно использовать для определения ошибок автоматической подачи заявки клиента и выполнения соответствующих действий. Справочная информация по этому средству, доступная из командной строки, представлена ниже: 

Z:\>eventquery /?

Microsoft (R) Windows Script Host Version 5.6

Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.

----------------------------------------------------------------------

EVENTQUERY.vbs [/S system [/U username [/P password]]] [/FI filter]

        [/FO format] [/R range] [/NH] [/V] [/L logname | *]

Description:

  The EVENTQUERY.vbs script enables an administrator to list

  the events and event properties from one or more event logs.

Parameter List:

  /S   system     Specifies the remote system to connect to.

  /U   [domain\]user  Specifies the user context under which the

              command should execute.

  /P   password    Specifies the password for the given

              user context.

  /V           Specifies that the detailed information

              should be displayed in the output.

  /FI  filter     Specifies the types of events to

              filter in or out of the query.

  /FO  format     Specifies the format in which the output

              is to be displayed.

              Valid formats are "TABLE", "LIST", "CSV".

  /R   range      Specifies the range of events to list.

              Valid Values are:

                'N' - Lists 'N' most recent events.

               '-N' - Lists 'N' oldest events.

              'N1-N2' - Lists the events N1 to N2.

  /NH          Specifies that the "Column Header" should

              not be displayed in the output.

              Valid only for "TABLE" and "CSV" formats.

  /L   logname     Specifies the log(s) to query.

  /?           Displays this help/usage.   Valid Filters Operators allowed  Valid Values

  ------------- ------------------ ------------

  DATETIME    eq,ne,ge,le,gt,lt  mm/dd/yy(yyyy),hh:mm:ssAM(/PM)

  TYPE      eq,ne        ERROR, INFORMATION, WARNING,

                    SUCCESSAUDIT, FAILUREAUDIT

  ID       eq,ne,ge,le,gt,lt  non-negative integer

  USER      eq,ne        string

  COMPUTER    eq,ne        string

  SOURCE     eq,ne        string

  CATEGORY    eq,ne        string

NOTE: Filter "DATETIME" can be specified as "FromDate-ToDate"

   Only "eq" operator can be used for this format.

Examples:

  EVENTQUERY.vbs

  EVENTQUERY.vbs /L system

  EVENTQUERY.vbs /S system /U user /P password /V /L *

  EVENTQUERY.vbs /R 10 /L Application /NH

  EVENTQUERY.vbs /R -10 /FO LIST /L Security

EVENTQUERY.vbs /R 5-10 /L "DNS Server"

  EVENTQUERY.vbs /FI "Type eq Error" /L Application

  EVENTQUERY.vbs /L Application /FI "Datetime eq 06/25/00,03:15:00AM-06/25/00,03:15:00PM"

  EVENTQUERY.vbs /FI "Datetime gt 08/03/00,06:20:00PM"       /FI "Id gt 700" /FI "Type eq warning" /L System

  EVENTQUERY.vbs /FI "Type eq error OR Id gt 1000 "

Наверх страницы

Заключение

ОС Windows XP обеспечивает автоматическую подачу заявки на сертификат пользователя, что позволяет администраторам легко осуществлять внедрение сертификатов по всему предприятию, не прибегая к взаимодействию с пользователями. Автоматическая подача заявки на сертификат пользователя в ОС Windows XP Professional использует репутацию Microsoft, как поставщика устойчивых компонентов инфраструктуры открытых ключей (PKI), обеспечивающих низкую совокупную стоимость владения. С того момента, как инфраструктура открытых ключей стала неотъемлемой частью ОС Windows XP Professional, она обеспечивает ряд уникальных преимуществ над компонентами надстроек сторонних производителей. Преимущества включают в себя: 

Помните, что PKI почти всех сторонних производителей необходимо приобретать отдельно, а ее использование требует покупки лицензии для каждого сертификата и усложняет задачи управления.

В целом, функции автоматической подачи заявки на сертификаты в ОС Windows XP обеспечивают организациям и предприятиям возможность простого развертывания цифровых сертификатов и использующих PKI приложений, не тратя дополнительные средства и укладываясь в обычный бюджет, выделяемый на организацию ИТ-инфраструктуры.

Наверх страницы

Связанные ресурсы

Для получения дополнительной информации обратитесь к следующим источникам:

Обсуждение статьи на форуме