Вопрос или проблема
Я обновил наш корневой центр сертификации сегодня, так как он истекает на следующей неделе. Я сделал это, открыв CA и щёлкнув правой кнопкой мыши по серверу, выбрал “Все задачи”, “Обновить сертификат с тем же ключом”. Мне сообщили, что это остановит сервисы, что это и сделало. Затем началось обновление сертификата, и модуль CA завис примерно на 30 минут. Я закрыл его, перезапустил сервер и открыл его снова. На вкладке “Общие” сервера показан новый сертификат (Сертификат #1) с новой датой истечения. Я подумал, ЗДОРОВО! Он должен быть распространён на мои машины, так как это среда A/D.
Но проблема, с которой я столкнулся сейчас, заключается в том, что я не могу создать сертификаты агента регистрации, потому что система считает, что работает ненадёжный центр сертификации, и я не могу войти с нашими смарт-картами из-за той же проблемы. Новый сертификат не был распространён на компьютеры, так как по-прежнему используется старый сертификат CA, но в консоли на контроллерах домена он отображается как надёжный. Что происходит? Было ли что-то нарушено, когда он завис? Мне нужно выдать сертификаты новым пользователям, нужно ли мне создать новый шаблон для пользователей на основе нового сертификата CA? И почему он считает его ненадёжным, если в CA указано, что СЕРТИФИКАТ 1 – “ХОРОШО”?
Ответ или решение
Процесс обновления корневого центра сертификации (ЦС) может быть сложным и иногда приводит к неожиданным проблемам, как в вашем случае. Рассмотрим, что могло пойти не так и что можно сделать для решения данной проблемы.
Фон проблемы
Вы обновили сертификат корневого ЦС, но после этого ваши машины не распознают новый сертификат, что мешает выдаче агентских сертификатов регистрации и использованию смарт-карт. Это указывает на проблему доверия к новому сертификату.
Возможные причины проблемы
-
Некорректное обновление сертификата: Замерзание модуля ЦС на 30 минут могло повлиять на корректность процесса обновления. Возможно, что обновление было завершено некорректно, что и стало причиной проблемы доверия.
-
Необновление сертификатов в A/D среде: Хотя новый сертификат визуально отображается как действительный на контроллерах домена (DC), он может не быть распространен по всем машинам вашего домена.
-
Кеширование и распространение политики доверия: Ваша сеть может использовать кэширование доверительных сертификатов, что может вызвать задержки в распространении изменений по всем системам.
Шаги по решению проблемы
Анализ и проверка
-
Проверка службы сертификатов: Убедитесь, что служба ЦС работает корректно и что ошибок в журнале событий нет.
-
Перезапуск контроллеров домена: Перезагрузите контроллеры домена для обновления и применения новых политик безопасности и доверенных корневых сертификатов.
Распространение сертификатов
-
Групповые политики и обновление доверенных корневых сертификатов: Проверьте, что групповые политики, отвечающие за распространение корневых сертификатов, настроены правильно и выполните их вручную с помощью команды
gpupdate /force. -
Копирование нового сертификата к клиентам: Вручную скопируйте сертификат на несколько тестовых машин и вручную добавьте в хранилище доверенных корневых сертификатов, чтобы быстро удостовериться, что это решает проблему.
Обновление шаблонов и доверенности
-
Создание нового шаблона сертификата: Несмотря на возможность повторного использования старого шаблона, рассмотрите создание нового шаблона на случай, если ошибка возникла из-за проблем с совместимостью старого шаблона.
-
Перепроверка цепочки доверия: Проверьте, чтобы новый сертификат корневого ЦС был правильно вставлен во все машины клиентской цепочки доверительной сертификации.
Заключение
Обновление корневого ЦС — процесс, связанный с рядом рисков, включая проблемы стабильности и доверия. Следуя данным рекомендациям, вы сможете найти и устранить причину своей проблемы. Убедитесь, что после внесения всех изменений вы протестировали работу с новыми учетными данными и сертификацией на тестовых машинах, чтобы минимизировать риски возникновения подобных проблем в будущем.