Регистрация Войти
Рейтинг:0
Daniel avatar Server

Автоматическая регистрация с одобрения менеджера, но автоматическое одобрение повторной регистрации

флаг in
Daniel

У меня есть шаблон сертификата (автоматически регистрируемый), который требует утверждения менеджером.

Для этого я проверил Утверждение диспетчера сертификатов ЦС флажок в Требования к выдаче вкладка

введите описание изображения здесь введите описание изображения здесь

Компьютер выполняет автоматическую регистрацию, и сертификат размещается на В ожидании очередь в ЦС.

Я хочу, чтобы после того, как ожидающий сертификат был одобрен вручную, сертификаты должны были быть обновлены или обновлены, если увеличивается основная версия шаблона, без утверждения менеджером. Но я не могу заставить это работать.

Когда я увеличиваю основную версию сертификата, запрос никогда не выдается автоматически, а снова помещается в В ожидании очередь на ручную выдачу.

Я попытался изменить Те же критерии, что и для зачисления к Действительный существующий сертификат но это ничего не изменило.

Чтобы ускорить устранение неполадок, я использовал certutil-пульс для запуска процесса автоматической регистрации на запрашивающем компьютере.

Редактировать:

Политика автоматической регистрации на уязвимом сервере:

введите описание изображения здесь

100
0 + 0
флаг br
garethTheRed
Что находится на вкладке __Subject__?
0
Ответить
Daniel avatar
флаг in
Daniel
@garethTheRed Я добавил вкладку темы.
0
Ответить
флаг br
garethTheRed
А групповая политика PKI?
0
Ответить
флаг cn
Crypt32
Похоже на ошибку в ADCS или неправильную документацию MSFT. В этот момент вы не можете выполнить то, что пытаетесь сделать. Я связываюсь с Microsoft по этому поводу, чтобы получить разъяснения.
0
Ответить
Daniel avatar
флаг in
Daniel
@garethTheRed Я добавил политику автоматической регистрации. Я предполагаю, что это то, что вы имели в виду под групповой политикой PKI?
0
Ответить
флаг br
garethTheRed
Честно говоря, они выглядят идентично настройкам, которые я использовал в прошлом. Однако я не пытался увеличивать основную версию шаблона и тестировал. Судя по тому, что вы видели и что сказал @Crypt32, вряд ли у меня получится!
0
Ответить
флаг br
garethTheRed
Одна мысль - вы не установили срок действия на что-то смехотворно короткое с целью ускорения тестирования, не так ли? Автоматическая (повторная) регистрация завершается сбоем, когда вы выдаете сертификаты менее чем на 8 часов или около того — я обычно устанавливаю 24 часа даже для тестирования.
0
Ответить
Daniel avatar
флаг in
Daniel
Я установил его на один час. Я установлю его на 24 часа и подожду день.
0
Ответить
Daniel avatar
флаг in
Daniel
Сегодня я проверяю ЦС, и обновления сертификатов все еще находятся в состоянии ожидания.
0
Ответить
флаг cn
Crypt32
@Daniel, как я уже сказал, либо это ошибка документа, либо ошибка ADCS CA. Это не ваша вина (не неправильная конфигурация). Документы говорят, что «существующий действующий сертификат» переопределяет флажок утверждения диспетчера ЦС. Мне удалось воспроизвести, и поведение противоречит документам, и я открыл обращение в службу поддержки MSFT.
1
Ответить
Daniel avatar
флаг in
Daniel
Просто обновляю пост. Цените свои усилия. Пожалуйста, дайте мне знать о результате. Спасибо!
0
Ответить
Рейтинг:2
avatar Server
флаг cn
Crypt32

Я открыл обращение в службу поддержки Microsoft от имени OP (TrackingID#2201120040008993) по поводу этой проблемы. Как я указал в комментариях, настройка OP правильная, и я смог воспроизвести ее в своей среде. Тикет поддержки открыт по протоколу [MS-WCCE], §3.2.1.4.2.1.4.2.2 Спецификация.

Служба поддержки Microsoft смогла подтвердить проблему. Дальнейшее расследование показало, что Microsoft CA реализует [MS-WCCE]. §3.2.2.6.2.1.4.5.7 требование игнорировать CT_FLAG_PEND_ALL_REQUESTS отмечать, когда CT_FLAG_PREVIOUS_APPROVAL_VALIDATE_REENROLLMENT правильно. Однако дальнейшее расследование показало, что Microsoft CA в одной из внутренних процедур обработки запросов дает сбой с Плохое имя продления который пытается связать имя UPN запрашивающей стороны с именем, хранящимся в Active Directory. Однако, поскольку это компьютерный шаблон, имя участника-пользователя недоступно (отсюда и ошибка), и процедуры обновления прерываются, и выполняются первоначальные процедуры запроса: запрос помещается в ожидающие запросы. И это условие привязки UPN нигде не задокументировано.

Я настроил тот же сценарий для пользовательского шаблона (который записывает имя участника-пользователя в сертификат), и он работал хорошо: первоначальный запрос был помещен в ожидающие запросы, обновление автоматически обновлялось и выдавало сертификат.

В текущем состоянии параметр «действительный существующий сертификат» работает только для шаблонов пользователей и не работает для шаблонов компьютеров. Доступного обходного пути нет.

Я продолжаю общение со службой поддержки Майкрософт и обновлю этот ответ, когда появится новая информация.

ХТН

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.