Remove From My Forums

请问谁有WIN2008 企业CA如何部署自动注册基本EFS加密的技术文档么

问题
0

登录进行投票
1、Win2008 R2 Standard域控；

2、Win2008 Enterprise SP2 安装了企业根CA；分别复制了“ EFS故障恢复代理和基本 EFS”的模板副本，手动申请了“EFS故障恢复代理副本”证书，请问这种属于域内用户自动注册的基本 EFS证书是不是在 default domain policy 的用户配置-策略-windows设置-安全设置-公钥策略-证书服务客户端启用“自动注册和证书注册策略”，企业信任列表应该就不用设置了吧？

3、计算机配置-策略-windows设置-安全设置-公钥策略-加密文件系统-已经添加了数据恢复代理程序，受信任的根证书颁发机构也把企业CA的证书导入进来了；证书服务客户端也都启用“自动注册和证书注册策略”；请问“自动证书设置”要设置吗？怎么设置？

现在我的客户端怎么也自动获取不了基本EFS副本模板的证书，请高手指点，非常感谢！！！
- 已编辑 pkslxs 2013年4月11日 2:49
2013年4月11日 2:48

回复

|

引用

全部回复

0

登录进行投票

你的证书模板设置了Auto-Enroll了吗？

Set Up Automatic Certificate Enrollment
http://technet.microsoft.com/en-us/library/cc770546.aspx

你的客户端是什么操作系统？

Windows Server 2003 and Windows XP clients cannot obtain certificates from a Windows Server 2008-based certification authority (CA) if the CA is configured to use SHA2 256 or higher encryption
http://support.microsoft.com/kb/968730

Troubleshooting autoenrollment
http://blogs.technet.com/b/instan/archive/2009/12/07/troubleshooting-autoenrollment.aspx

2013年4月11日 4:11

回复

|

引用
0

登录进行投票

你好！

我的证书模板设置了自动注册，客户端有 WIN7 额和WINXP

2013年4月11日 4:54

回复

|

引用
0

登录进行投票
Win7客户端也都失败了吗？rsop看到组策略确实获取到了吗？EventLog有啥相关信息没？
- 已编辑 Finy 2013年4月11日 5:43
2013年4月11日 5:42

回复

|

引用
0

登录进行投票

日志名称:          Application
来源:            Microsoft-Windows-CertificationAuthority
日期:            2013/4/11 16:01:11
事件 ID:         22
任务类别:          无
级别:            错误
关键字:           经典
用户:            SYSTEM
计算机:           exchange.pks.com
说明:
Active Directory 证书服务无法处理申请 9，原因是出现了以下错误: 不能将私钥存档。没有将证书颁发机构配置为将密钥存档。 0x8009400a (-2146877430)。申请是 PKS\administrator 的。其他信息: 存档私钥时出现错误
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
    <Provider Name="Microsoft-Windows-CertificationAuthority" Guid="{6A71D062-9AFE-4F35-AD08-52134F85DFB9}" EventSourceName="CertSvc" />
    <EventID Qualifiers="49754">22</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2013-04-11T08:01:11.000Z" />
    <EventRecordID>289713</EventRecordID>
    <Correlation />
    <Execution ProcessID="0" ThreadID="0" />
    <Channel>Application</Channel>
    <Computer>exchange.pks.com</Computer>
    <Security UserID="S-1-5-18" />
</System>
<EventData Name="MSG_E_PROCESS_REQUEST_FAILED_WITH_INFO">
    <Data Name="RequestId">9</Data>
    <Data Name="ErrorCode">不能将私钥存档。没有将证书颁发机构配置为将密钥存档。 0x8009400a (-2146877430)</Data>
    <Data Name="SubjectName">PKS\administrator</Data>
    <Data Name="AdditionalInformation">存档私钥时出现错误</Data>
</EventData>
</Event>

报了一个这样的错，请指教！

2013年4月11日 9:02

回复

|

引用
0

登录进行投票

日志名称:          Application
来源:            Microsoft-Windows-CertificationAuthority
日期:            2013/4/11 16:01:11
事件 ID:         22
任务类别:          无
级别:            错误
关键字:           经典
用户:            SYSTEM
计算机:           exchange.pks.com
说明:
Active Directory 证书服务无法处理申请 9，原因是出现了以下错误: 不能将私钥存档。没有将证书颁发机构配置为将密钥存档。 0x8009400a (-2146877430)。申请是 PKS\administrator 的。其他信息: 存档私钥时出现错误
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
    <Provider Name="Microsoft-Windows-CertificationAuthority" Guid="{6A71D062-9AFE-4F35-AD08-52134F85DFB9}" EventSourceName="CertSvc" />
    <EventID Qualifiers="49754">22</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2013-04-11T08:01:11.000Z" />
    <EventRecordID>289713</EventRecordID>
    <Correlation />
    <Execution ProcessID="0" ThreadID="0" />
    <Channel>Application</Channel>
    <Computer>exchange.pks.com</Computer>
    <Security UserID="S-1-5-18" />
</System>
<EventData Name="MSG_E_PROCESS_REQUEST_FAILED_WITH_INFO">
    <Data Name="RequestId">9</Data>
    <Data Name="ErrorCode">不能将私钥存档。没有将证书颁发机构配置为将密钥存档。 0x8009400a (-2146877430)</Data>
    <Data Name="SubjectName">PKS\administrator</Data>
    <Data Name="AdditionalInformation">存档私钥时出现错误</Data>
</EventData>
</Event>

报了一个这样的错，请指教！

这样貌似就简单了。。。

把你的证书模板里 "achive the subject's encryption private key" 去掉，应该就好了。

这篇老外帖子就是这么解决的

http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thread/a45b5a50-ae45-4943-8ca5-1abb8565ab76/

他说：

The root cause of the issue was that on the MyCompanyEFS Template I enable key archive but did not setup the CA to support key archive. Once I updated the template to not "achive the subject's encryption private key" the certificate was issued.

2013年4月11日 9:11

回复

|

引用
0

登录进行投票

您好，具体指哪个证书模板里？基本EFS副本吗？

2013年4月11日 9:41

回复

|

引用
0

登录进行投票

您好，具体指哪个证书模板里？基本EFS副本吗？

你发布的那个

2013年4月11日 9:54

回复

|

引用
0

登录进行投票

您好！能给点这方面的中文资料吗？

2013年4月11日 16:37

回复

|

引用
0

登录进行投票

您好！能给点这方面的中文资料吗？

不好意思，我在看到你这个帖子之前对08下的EFS证书AutoEnroll如何操作也没有任何概念，也就是随便Google了一下，翻阅了几篇TechNet文档才知道是怎么回事。。。

03时代有个Webcast叫《证书深耕细列》，这里面讲了很多基础原理，如果你缺的是基础原理而不是操作层面的东西的话，推荐去看看这个视频。

2013年4月12日 2:07

回复

|

引用
0

登录进行投票
如果你的客户端是WinXP以上，应使用Version2证书模板。只有Version2，Version3证书模板支持Autoenrollment。Windows 2000可以使用的是ACRS自动证书请求设置（Automatic Certificate Request Settings），只能支持V1模板，证书只支持颁发给域计算机，而不支持用户帐户。

标准版系统不支持颁发基于Version2，Version3版证书模板的证书。

然后就是模板和组策略，你既然不做私钥存档就把选项都取消。

如果仍用标准版，就手动注册Version1版证书。现在就可用证书注册向导测试，或AD证书服务Web注册页，

客户脚本的话...要会写。
- 已编辑 Flug 2013年4月13日 7:28 核对
2013年4月12日 16:58

回复

|

引用
0

登录进行投票

首先谢谢大家的热心帮助！！！

1、我从win2008 企业版复制的基本EFS证书模板，安全里也把验证用户赋予了读取、注册、自动注册权限；

2、组策略里，用户配置-策略-windows设置-公钥策略-证书服务客户端里面的2个选项我都已启用了。

3、基本EFS 副本的私钥存档我也取消了；

4、我就是看了2003年程迎春老师的教程才考虑做EFS加密的；

5、我的预控是win2008 R2标准版；ADCS安装在WIN2008 SP2 企业版；

求助！

2013年4月15日 7:38

回复

|

引用
0

登录进行投票
首先明确第一点:不管是MS倾向也好，个人偏爱也好，文档写作专家写的大都是基于多层证书结构的应用。单层会有什么操作不同，这个我不好说。就没见你发布了证书模板。但是我还记得根证书CA给从属证书颁发机构证书时是需要动手操作的。你说你复制证书模板，我不知道你看的是什么资料，但至少我在根CA上是找不到发布模板的地方。

另一点，2008的证书服务和使用更改了很多地方，用以前的文档时一定要注意。

哦，想起来了，是独立根，和你是企业根的区别问题。

————这段先不必着急————

在多层的颁发证书CA上：

所有机器NT6以上

自动注册：组策略，看起来没问题

EFS恢复代理证书模板   在AD发布证书：启用（如果恢复代理已经没有问题，不必再更改这些）

EFS恢复代理申请证书

定义EFS恢复代理，计算机配置-策略-windows设置-安全设置-公钥策略-加密文件系统，创建数据恢复代理，或者有其他可以添加。

启用EFS

EFS用户证书模板，基于基本EFS       在AD发布证书：启用

                                                 安全                          看设置也没什么问题。

发布

使用。

————到这都先不必着急————

你现在已经申请到恢复代理证书了吗？看了证书的颁发机构了吗？用户可以手动注册证书吗？

打开你的certsrv，点开你的服务器，把截图贴上来。如果可以手动证书注册向导申请证书，点证书的属性按钮，把证书颁发机构页的截图也贴上来。
- 已编辑 Flug 2013年4月15日 10:16
2013年4月15日 9:43

回复

|

引用
0

登录进行投票

谢谢！

1、手动可以申请到基本EFS证书，关键是我想在企业里部署自动注册基本EFS证书；

2013年4月16日 1:13

回复

|

引用
0

登录进行投票

2013年4月16日 1:14

回复

|

引用
0

登录进行投票

你贴图的客户端情况和服务器端情况为什么对不上？你不是设置和发布了基本EFS2了吗？另外Web注册页证书错误，是用的自签名证书吗？

你说的“手动可以申请到基本EFS证书”是基于基本EFS模板，还是基本EFS2？不把问题都描述清楚很难定位哪里出的错。是否允许自签名EFS证书？客户端无法获取证书是怎么报错？服务器端能不能看到失败的申请？现在是怎样报错？

用证书注册向导试一下，可用模板那里选上所有模板，看一下有什么类型的错误。再说一下。

如果按前面已经讲过的操作，在没有相关的错误情况下：

那对自动注册的情况，我能想到的办法就是：先删除已有的基本EFS各副本，重新复制一份，在设置的：取代模板项里，加入基本EFS。

组策略，自动证书请求的EFS模板，选中这个。

刷新组策略，在Win7机器上新建一个用户，使用EFS，看证书注册情况。

2013年4月16日 10:18

回复

|

引用
0

登录进行投票

你好！谢谢！

1、我先是复制了基本EFS模板，第一次叫基本EFS副本，后来改为了基本EFS的2了；

2、在WIN7客户端用证书申请向导式可以申请到基本EFS的2，想请问在WIN2008企业版 SP2下客户端（包括WINXP）能自动注册基本EFS证书吗？还是每个客户端都要通过注册向导来申请？按道理应该是运用组策略之后就能自动获取到这张证书的吧？

3、组策略，自动证书请求的EFS模板，选中这个。这个在哪里设置？

2013年4月17日 1:35

回复

|

引用
0

登录进行投票

你还是先要把问题说清楚。客户端无法自动申请证书到底具体是怎么样的？未申请用户现在用EFS是什么情况？只有用户使用EFS时，才会自动申请证书哦。

客户端无法获取证书是怎么报错？服务器端能不能看到失败的申请？现在是怎样报错？

问题2，这里的划分是NT5，NT6。Vista以上是新系统，组策略有指示模板和其他新设置。XP据说只自动基本EFS。不过这里的相关说法有一点矛盾的地方。你先集中注意Vista以来的吧。

问题3，我先问一下————你看的一直以来全是Windows 2003的文档吗？

2013年4月17日 7:39

回复

|

引用
0

登录进行投票
谢谢Flug！

1、客户端我没去测试，我只用了我的WIN7机器，没敢用EFS加密，只有用户使用EFS时，才会自动申请证书哦。这个真不知道，我明早一回公司马上试试！以为一定要在个人证书里看到这张证书才能使用EFS加密呢。

2、我公司里面大部分还在用xp；

3、主要学习了程迎春小姐的视频教程，后面看的也基本是WIN2003的文档。

4、今天打了微软客服热线，解决这个问题要1000大洋，吓得赶紧挂电话，呵呵。

非常感谢！！！
- 已编辑 pkslxs 2013年4月17日 14:42
2013年4月17日 14:40

回复

|

引用
0

登录进行投票

我真惊了，你们居然还一直迷信旧资料，捧着用到其他系统上到今天.............来，筒子——加密文件系统上，右键——你到现在为止从来没想过？从来都没有想过？？

<br>

®MS怎么才要一千大洋这么便宜。现在还真是行情不好啊。

2013年4月17日 22:47

回复

|

引用
0

登录进行投票

用户使用EFS时，才会自动申请证书：这个是原理上。不过我昨天又设置了一遍EFS自动，实际系统在用户登录时就把证书塞给用户了。证书里已经可以看到了。

原理讲的过程，有已指定证书用已指定，无已指定，查询证书集，证书集无EFS用证书，向CA申请，无法从CA申请，创建自签名证书，加密。

在从CA申请时，据说XP只支持申请基本EFS模板，Vista可以在组策略里设置模板，和禁用自签名证书。所以要照顾兼容性，就有麻烦调整来调整去设置。还有恢复代理也要小心，搞不好会乱。

反正基本设置过程就像上面已经说的一样，个别需求就是自己看着来设了。

不过你们这样不太明不太白的上加密系统，尤其是要用于重要内容，真的没问题？￣＿￣︙ 算了^〇^ ，广大顾客如有EFS无法解密问题，欢迎联系破解，千圆每兆☆不适用于智能卡和HSM用户哦；论坛用户从优~~~~

2013年4月18日 0:00

回复

|

引用
0

登录进行投票

非常感谢Flug！完全接受批评！请再指教！

1、我在XP客户端加密文件，证书也有，但那居然是到2113年的，是否为自签名整书，但下面的回复代理又是我的域管理员账号哟！请看图

2、我把加密文件发给其他2个用户，都能打开，晕！

2013年4月18日 2:17

回复

|

引用
0

登录进行投票

EFS用了自签名证书，就说明你没成功从CA autoenroll到证书，所以才fall back到自签名。

正常的EFS时自动从CA拿到证书，应该是这样的

客户端：

CA上：

并且，从数据安全角度来讲，应该通过组策略，禁止客户端在EFS时可以fall back为产生自签名证书。

Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Encrypting File System 属性里，去除勾选 Allow EFS to generate self-signed certificates when a certification authority is not available

2013年4月18日 2:46

回复

|

引用
0

登录进行投票

你好！

1、我把组策略里加密文件属性里的自颁发证书给禁止掉了，并且选中了“基本EFS 副本”了；

2、然后再加密时报错，如果您方便，可不可以留下联系方式给我，谢谢！！！

2013年4月18日 5:28

回复

|

引用
0

登录进行投票

2013年4月18日 5:29

回复

|

引用
0

登录进行投票

客户端Eventlog里写啥了？

2013年4月18日 6:16

回复

|

引用
0

登录进行投票

跟你说了这是Vista以来的新设置了啊。XP你不是一直都看的这类的文档吗。——你对组策略也混乱的吗？

搞兼容性设置就只能一点一点来试。我觉得应该保留默认设置，MS在这方面应该考虑过了。

先试Win7已完全正常否。设好自动注册恢复代理模板，用你想的恢复代理用户登陆，在组策略里添加自己，会自动注册证书搞定。这样然后再用，应该没什么问题了。

再其他的已经是另外的问题了，我觉得再跟你这么发展着讲下去，就要没完了。

2013年4月18日 10:09

回复

|

引用
0

登录进行投票

你好！能把你的实验步骤写一下给我么？

2013年4月18日 14:24

回复

|

引用
0

登录进行投票

步骤就是我第二帖写的那些。结合其他回帖设置就行了。注意系统。

和XP的兼容性问题，就要你自己反复试确定适宜的配置了。看下来这楼的直接问题回答总结就是20楼。

你一上来就说已设置了恢复代理，结果上面贴图实际却又根本没有。该让人说什么好呢，你可以照着别人的开始，但以后使用的事还是靠得自己做的吧。

可说问题是在你没有系统的基础啊，估计这楼从第一个回帖开始，你其实就都没看懂。

没概念的瞎操作引起的就会是风险。要么现在既然你已经知道有自动生成自签名证书，如自己没有什么别的特殊目的，就将就着用吧。注意前提是你已学会这方面是怎么回事。EFS使用的问题，新旧倒不会有太大差别的方面，自己努力看罢。

2013年4月18日 17:27

回复

|

引用
0

登录进行投票

万分感谢！

我理了理头绪把步骤写了一下，你看对不对？

1、在 WIN2008 SP2企业版上安装CA，域管理员账户申请一张故障恢复代理证书，导出私钥并且放置在安全的地方；

2、在证书模板里复制基本EFS，生成一个副本，在请求处理里如果不做密码恢复代理，就把“把使用者的加密私钥存档”的勾除掉；再在安全选项里把验证用户或域用户的“读取、注册、自动注册”勾上；

3、在企业根CA的证书模板里把刚才的基本EFS副本模板添加进来；

4、在默认域策略里，在计算机配置-策略-windows设置-安全设置-公钥策略-加密文件系统-添加之前的故障恢复代理证书（这里只含公钥可以吗？），

再把证书服务客户端-自动注册选为已启用；证书服务客户端-证书注册策略-AD注册策略要启用吗？疑问：公钥策略里的“自动证书申请设置”里只是能添加颁发给计算机类的证书，基本EFS是颁发给用户的，这里可以不理它？

5、用户配置-策略-windows设置-安全设置-公钥策略-把证书服务客户端自动注册选为已启用，证书服务客户端-证书注册策略-AD注册策略要启用；

6、刷新组策略或者重启预控和CA服务器，WIN7 客户端重启或重新登录就可以运用组策略，拿到证书进行加密；VISTA、WIN7客户端完全自动对吗？XP呢？

2013年4月19日 5:19

回复

|

引用
0

登录进行投票

2013年4月19日 5:21

回复

|

引用
0

登录进行投票

2013年4月19日 5:25

回复

|

引用
0

登录进行投票
麻烦您再最后帮我一次！谢谢！

日记错误如下：

日志名称:          Application
来源:            Microsoft-Windows-CertificateServicesClient-CertEnroll
日期:            2013/4/19 7:57:36
事件 ID:         13
任务类别:          无
级别:            错误
关键字:           经典
用户:            PKS\laixiaosheng
计算机:           LAIXIAOSHENG-PC.pks.com
描述:
PKS\laixiaosheng 的证书注册无法注册来自 exchange.pks.com\pks-EXCHANGE-CA (RPC 服务器不可用。 0x800706ba (WIN32: 1722))的请求 ID 为 N/A 的基本 EFS 的副本证书。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
    <Provider Name="Microsoft-Windows-CertificateServicesClient-CertEnroll" Guid="{54164045-7C50-4905-963F-E5BC1EEF0CCA}" EventSourceName="CertEnroll" />
    <EventID Qualifiers="49754">13</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2013-04-18T23:57:36.000000000Z" />
    <EventRecordID>14956</EventRecordID>
    <Correlation />
    <Execution ProcessID="0" ThreadID="0" />
    <Channel>Application</Channel>
    <Computer>LAIXIAOSHENG-PC.pks.com</Computer>
    <Security UserID="S-1-5-21-3608415040-877819285-1487604799-1245" />
</System>
<EventData>
    <Data Name="Context">PKS\laixiaosheng</Data>
    <Data Name="TemplateName">基本 EFS 的副本</Data>
    <Data Name="RequestId">exchange.pks.com\pks-EXCHANGE-CA</Data>
    <Data Name="CA">N/A</Data>
    <Data Name="ErrorCode">RPC 服务器不可用。 0x800706ba (WIN32: 1722)</Data>
</EventData>
</Event>
- 已编辑 pkslxs 2013年4月19日 5:32
2013年4月19日 5:26

回复

|

引用
0

登录进行投票

一看这个Log，不就简单了嘛，RPC服务不可用，那就检查网络连通性！微软有个测试工具叫PortQuery可以用一下。

必要时，两端抓包，捕捉一下这个过程，看是哪一步出了问题。

2013年4月19日 6:36

回复

|

引用
0

登录进行投票

    <Data Name="TemplateName">基本 EFS 的副本</Data>
    <Data Name="RequestId">exchange.pks.com\pks-EXCHANGE-CA</Data>
    <Data Name="CA">N/A</Data>
    <Data Name="ErrorCode">RPC 服务器不可用。 0x800706ba (WIN32: 1722)</Data>

你先认真看别人说的话...这是我第三遍说：XP只支持基本EFS模板！

步骤四，只做分号之前的。步骤五，你从哪里看来要做的？

我步骤里说了：启用EFS！点允许啊，你在组策略里都干了些什么？

把我说的都办了，你到底有没有从Win7开始先试过已经是不是全都正常？

2013年4月19日 14:46

回复

|

引用
0

登录进行投票
我还想提一句：

楼主是在真实环境或者说生产环境做这个测试吗？

我现在担心的是，其实你的配置都正确了，但你的网络环境阻碍了这些功能的正常工作，你说会不会呢？

如果你觉得我说的有道理，那么，请在一套纯净的独立环境（例如虚拟机下）做你的测试吧。

PS：我可以负责任地告诉你，我花了不到半小时，就在虚拟机下轻松完成了你想完成的任务（当然，我的测试没包含XP客户端，因为手头虚拟机都是Win7，懒得装一台XP了），一点都没遇到障碍，先前我贴的图就是虚拟机中拿出来的。
- 已编辑 Finy 2013年4月20日 1:43
2013年4月20日 1:40

回复

|

引用
0

登录进行投票

首先非常感谢两位高手的悉心指导！特别是Flug，虽然对我蛮凶，可那都是怒其不争的意思！谢谢您！

昨晚搞了一整夜的RPC服务器不可用的排错，无果。RPC和RPC Locator两个服务都成灰色，不能重启或禁止了，怀疑是病毒所致；今早用WIN2008 R2+XP虚拟机实验成功了，请看截图，说明我的步骤没错；下一步主要的精力要在解决RPC服务器不可用上了；

2013年4月21日 0:17

回复

|

引用

询问者

请问谁有WIN2008 企业CA如何部署自动注册基本EFS加密的技术文档么

问题

全部回复