Вопрос или проблема
Я выдал себе сертификат агента регистрации на своем ПК COMPUTER1. Я использовал этот сертификат для регистрации сертификатов от имени других. Я работаю в других областях, и у нас есть сетевое подключение к моему второму местоположению. Я экспортировал сертификат агента регистрации с COMPUTER1 и импортировал его в Личный магазин на машине COMPUTER2. Он отображается как установленный в магазине, так же как и на COMPUTER1. Когда я пытаюсь зарегистрироваться от имени другого пользователя с теми же учетными данными, что и на COMPUTER1, при выборе сертификата агента регистрации он не находит НИКАКИХ сертификатов на COMPUTER2, хотя он отображается в магазине.
Кто-нибудь знает, как это исправить, или мне нужно выдать себе сертификат агента регистрации и на COMPUTER2?
Судя по вашим комментариям, кажется, что закрытый ключ защищен. Это, вероятно, установлено в шаблоне регистрации для предотвращения экспорта закрытого ключа.
Самым простым решением было бы зарегистрировать второй сертификат для второго компьютера.
Ответ или решение
Когда вы сталкиваетесь с проблемой отсутствия сертификата агента по регистрации на COMPUTER2 после его переноса с COMPUTER1, важно рассмотреть несколько аспектов работы с сертификатами и инфраструктурой открытого ключа (PKI).
Понимание проблемы
Ваш агентский сертификат был успешно экспортирован с COMPUTER1 и импортирован в персональное хранилище на COMPUTER2. Однако, когда вы пытаетесь использовать этот сертификат для регистрации от имени других, система не отображает его как доступный для использования. Это часто связано с тем, что необходимый приватный ключ не может быть использован на новом устройстве.
Возможные причины проблемы
-
Защита приватного ключа: В соответствии с политикой безопасности вашего CA (центра сертификации), может быть настроено ограничение на экспорт приватного ключа. Если сертификат был выдан с параметром, запрещающим экспорт ключа, то даже если сертификат импортирован в хранилище, приватный ключ не будет доступен для использования на новом компьютере.
-
Совместимость сертификатов: Убедитесь в том, что настройки и свойства сертификата соответствуют требованиям для его использования на COMPUTER2. В некоторых случаях могут действовать политики групповых объектов (GPO), которые влияют на доступность сертификатов.
Рекомендации по решению проблемы
-
Выдача нового сертификата: Наилучшим решением будет выдача нового сертификата агента по регистрации на COMPUTER2. Это обеспечит наличие приватного ключа на этом устройстве и позволит вам выполнять операции по регистрации.
-
Проверка настроек CA: Обратитесь к администратору вашего центра сертификации и уточните политику экспорта приватного ключа для агентских сертификатов. Если это возможно, рекомендуйте внести изменения в шаблон сертификата для разрешения экспорта ключа.
-
Проверка зависимости от GPO: Убедитесь, что для COMPUTER2 не действуют ограничения на использование сертификатов, которые могут блокировать доступ к ключам.
-
Использование утилиты для управления сертификатами: Вы можете использовать такие инструменты, как
certutil, для выполнения дополнительных проверок, связанных с сертификатами, и их текущими состояниями.
Заключение
Проблема, с которой вы столкнулись, чаще всего вызвана ограничениями безопасности на экспорт приватного ключа. Вариантом решения будет выдача нового сертификата агента по регистрации непосредственно на COMPUTER2. Это помогут гарантировать, что все необходимые ключи корректно доступны, и вам не придется сталкиваться с трудностями при регистрации от имени других пользователей.
Если у вас остались вопросы или требуется дополнительная помощь, не стесняйтесь обращаться к вашим системным администраторам или специалистам по безопасности.