我们有一个openssl脱机根CA与Windows 2008 R2 AD集成SubCA。
Openssl根CA已发布到ldap CN=ROOTCANAME,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN使用certutil -dspublish -f root.cer RootCA
一切都可以,除了一件事。 到目前为止,两个客户端(都是XP)出现了没有将根CA证书导入到受信任的企业根证书颁发机构存储中。
在我的工作站上,我得到以下输出:
C:\>certutil -store -enterprise root 402.203.0: 0x80070057 (WIN32: 87): ..CertCli Version ================ Certificate 0 ================ Serial Number: f818516373f917e8 Issuer: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE Subject: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE Signature matches Public Key Root Certificate: Subject matches Issuer Cert Hash(sha1): a6 ed 80 59 04 80 c7 1f 4e cb aa e1 8d e7 77 4a 2a 98 43 97 No key provider information No stored keyset property CertUtil: -store command completed successfully.
在不导入根CA证书的工作站上。 输出是:
C:\>certutil -store -enterprise root CertUtil: -store command completed successfully.
即使手动导入证书后。 这台机器甚至重新join了这个领域。 无济于事。
现在的问题是:
几件事情来检查:
certmgr.msc的计算机帐户的受信任的根存储。 HKLM\Software\Microsoft\Cryptography\AutoEnrollment\AEDirectoryCache下的子键,然后使用certutil -pulse重新运行自动注册。 “我宁愿不使用组策略来进行简单分发……”
为什么不? 这正是GPdevise的目的 – 将常用设置/configuration分发到域PC。 只需将计算机configuration>策略> Windows设置>安全设置>公钥策略>受信任的根证书颁发机构下的根证书导入GPO