none
请问谁有WIN2008 企业CA如何部署自动注册基本EFS加密的技术文档么 RRS feed

  • 问题

  • 1、Win2008 R2 Standard域控;

    2、Win2008  Enterprise SP2 安装了企业根CA;分别复制了“ EFS故障恢复代理和 基本 EFS”的 模板副本,手动申请了“EFS故障恢复代理副本”证书,请问这种属于域内用户自动注册的基本 EFS证书是不是在 default domain policy  的 用户配置-策略-windows设置-安全设置-公钥策略-证书服务客户端启用“自动注册和证书注册策略”,企业信任列表应该就不用设置了吧?

    3、计算机配置-策略-windows设置-安全设置-公钥策略-加密文件系统-已经添加了数据恢复代理程序,受信任的根证书颁发机构也把企业CA的证书导入进来了;证书服务客户端也都启用“自动注册和证书注册策略”;请问“自动证书设置”要设置吗?怎么设置?

    现在我的客户端怎么也自动获取不了基本EFS副本模板的证书,请高手指点,非常感谢!!!


    • 已编辑 pkslxs 2013年4月11日 2:49
    2013年4月11日 2:48

全部回复

  • 你的证书模板设置了Auto-Enroll了吗?


    Set Up Automatic Certificate Enrollment
    http://technet.microsoft.com/en-us/library/cc770546.aspx

    你的客户端是什么操作系统?

    Windows Server 2003 and Windows XP clients cannot obtain certificates from a Windows Server 2008-based certification authority (CA) if the CA is configured to use SHA2 256 or higher encryption
    http://support.microsoft.com/kb/968730

    Troubleshooting autoenrollment
    http://blogs.technet.com/b/instan/archive/2009/12/07/troubleshooting-autoenrollment.aspx

     

    2013年4月11日 4:11
  • 你好 !

    我的证书模板设置了自动注册,客户端有 WIN7 额和WINXP

    2013年4月11日 4:54
  • Win7客户端也都失败了吗?rsop看到组策略确实获取到了吗?EventLog有啥相关信息没?
    • 已编辑 Finy 2013年4月11日 5:43
    2013年4月11日 5:42
  • 日志名称:          Application
    来源:            Microsoft-Windows-CertificationAuthority
    日期:            2013/4/11 16:01:11
    事件 ID:         22
    任务类别:          无
    级别:            错误
    关键字:           经典
    用户:            SYSTEM
    计算机:           exchange.pks.com
    说明:
    Active Directory 证书服务无法处理申请 9,原因是出现了以下错误: 不能将私钥存档。没有将证书颁发机构配置为将密钥存档。 0x8009400a (-2146877430)。申请是 PKS\administrator 的。其他信息: 存档私钥时出现错误
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-CertificationAuthority" Guid="{6A71D062-9AFE-4F35-AD08-52134F85DFB9}" EventSourceName="CertSvc" />
        <EventID Qualifiers="49754">22</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2013-04-11T08:01:11.000Z" />
        <EventRecordID>289713</EventRecordID>
        <Correlation />
        <Execution ProcessID="0" ThreadID="0" />
        <Channel>Application</Channel>
        <Computer>exchange.pks.com</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData Name="MSG_E_PROCESS_REQUEST_FAILED_WITH_INFO">
        <Data Name="RequestId">9</Data>
        <Data Name="ErrorCode">不能将私钥存档。没有将证书颁发机构配置为将密钥存档。 0x8009400a (-2146877430)</Data>
        <Data Name="SubjectName">PKS\administrator</Data>
        <Data Name="AdditionalInformation">存档私钥时出现错误</Data>
      </EventData>
    </Event>

    报了一个这样的错,请指教!

    2013年4月11日 9:02
  • 日志名称:          Application
    来源:            Microsoft-Windows-CertificationAuthority
    日期:            2013/4/11 16:01:11
    事件 ID:         22
    任务类别:          无
    级别:            错误
    关键字:           经典
    用户:            SYSTEM
    计算机:           exchange.pks.com
    说明:
    Active Directory 证书服务无法处理申请 9,原因是出现了以下错误: 不能将私钥存档。没有将证书颁发机构配置为将密钥存档。 0x8009400a (-2146877430)。申请是 PKS\administrator 的。其他信息: 存档私钥时出现错误
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-CertificationAuthority" Guid="{6A71D062-9AFE-4F35-AD08-52134F85DFB9}" EventSourceName="CertSvc" />
        <EventID Qualifiers="49754">22</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2013-04-11T08:01:11.000Z" />
        <EventRecordID>289713</EventRecordID>
        <Correlation />
        <Execution ProcessID="0" ThreadID="0" />
        <Channel>Application</Channel>
        <Computer>exchange.pks.com</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData Name="MSG_E_PROCESS_REQUEST_FAILED_WITH_INFO">
        <Data Name="RequestId">9</Data>
        <Data Name="ErrorCode">不能将私钥存档。没有将证书颁发机构配置为将密钥存档。 0x8009400a (-2146877430)</Data>
        <Data Name="SubjectName">PKS\administrator</Data>
        <Data Name="AdditionalInformation">存档私钥时出现错误</Data>
      </EventData>
    </Event>

    报了一个这样的错,请指教!

    这样貌似就简单了。。。

    把你的证书模板里 "achive the subject's encryption private key" 去掉,应该就好了。

    这篇老外帖子就是这么解决的

    http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thread/a45b5a50-ae45-4943-8ca5-1abb8565ab76/

    他说:

    The root cause of the issue was that on the MyCompanyEFS Template I enable key archive but did not setup the CA to support key archive.  Once I updated the template to not "achive the subject's encryption private key" the certificate was issued.

    2013年4月11日 9:11
  • 您好,具体指哪个证书模板里?基本EFS副本吗?
    2013年4月11日 9:41
  • 您好,具体指哪个证书模板里?基本EFS副本吗?

    你发布的那个
    2013年4月11日 9:54
  •  您好!能给点这方面的中文资料吗?

    2013年4月11日 16:37
  •  您好!能给点这方面的中文资料吗?

    不好意思,我在看到你这个帖子之前对08下的EFS证书AutoEnroll如何操作也没有任何概念,也就是随便Google了一下,翻阅了几篇TechNet文档才知道是怎么回事。。。

    03时代有个Webcast叫《证书深耕细列》,这里面讲了很多基础原理,如果你缺的是基础原理而不是操作层面的东西的话,推荐去看看这个视频。

    2013年4月12日 2:07
  • 如果你的客户端是WinXP以上,应使用Version2证书模板。只有Version2,Version3证书模板支持Autoenrollment。Windows 2000可以使用的是ACRS自动证书请求设置(Automatic Certificate Request Settings),只能支持V1模板,证书只支持颁发给域计算机,而不支持用户帐户。

    标准版系统不支持颁发基于Version2,Version3版证书模板的证书。

    然后就是模板和组策略,你既然不做私钥存档就把选项都取消。

    如果仍用标准版,就手动注册Version1版证书。现在就可用证书注册向导测试,或AD证书服务Web注册页,

    客户脚本的话...要会写。


    • 已编辑 Flug 2013年4月13日 7:28 核对
    2013年4月12日 16:58
  • 首先谢谢大家的热心帮助!!!

    1、我从win2008 企业版复制的基本EFS证书模板,安全里也把验证用户赋予了读取、注册、自动注册权限;

    2、组策略里,用户配置-策略-windows设置-公钥策略-证书服务客户端 里面的2个选项我都已启用了。

    3、基本EFS 副本的私钥存档我也取消了;

    4、我就是看了2003年程迎春老师的教程才考虑做EFS加密的;

    5、我的预控是win2008 R2标准版;ADCS安装在WIN2008 SP2 企业版;

    求助!

    2013年4月15日 7:38
  • 首先明确第一点:不管是MS倾向也好,个人偏爱也好,文档写作专家写的大都是基于多层证书结构的应用。单层会有什么操作不同,这个我不好说。就没见你发布了证书模板。但是我还记得根证书CA给从属证书颁发机构证书时是需要动手操作的。你说你复制证书模板,我不知道你看的是什么资料,但至少我在根CA上是找不到发布模板的地方。

    另一点,2008的证书服务和使用更改了很多地方,用以前的文档时一定要注意。

    哦,想起来了,是独立根,和你是企业根的区别问题。

    ————这段先不必着急————

    在多层的颁发证书CA上:

    所有机器NT6以上

    自动注册:组策略,看起来没问题

    EFS恢复代理证书模板   在AD发布证书:启用  (如果恢复代理已经没有问题,不必再更改这些)

    EFS恢复代理申请证书

    定义EFS恢复代理,计算机配置-策略-windows设置-安全设置-公钥策略-加密文件系统,创建数据恢复代理,或者有其他可以添加。

    启用EFS

    EFS用户证书模板,基于基本EFS       在AD发布证书:启用

                                                     安全                          看设置也没什么问题。

    发布

    使用。

    ————到这都先不必着急————

    你现在已经申请到恢复代理证书了吗?看了证书的颁发机构了吗?用户可以手动注册证书吗?

    打开你的certsrv,点开你的服务器,把截图贴上来。如果可以手动证书注册向导申请证书,点证书的属性按钮,把证书颁发机构页的截图也贴上来。


    • 已编辑 Flug 2013年4月15日 10:16
    2013年4月15日 9:43
  • 谢谢!

    1、手动可以申请到基本EFS证书,关键是我想在企业里部署自动注册基本EFS证书;

    2013年4月16日 1:13
  • 你贴图的客户端情况和服务器端情况为什么对不上?你不是设置和发布了基本EFS2了吗?另外Web注册页证书错误,是用的自签名证书吗?

    你说的“手动可以申请到基本EFS证书”是基于基本EFS模板,还是基本EFS2?不把问题都描述清楚很难定位哪里出的错。是否允许自签名EFS证书?客户端无法获取证书是怎么报错?服务器端能不能看到失败的申请?现在是怎样报错?

    用证书注册向导试一下,可用模板那里选上所有模板,看一下有什么类型的错误。再说一下。

    如果按前面已经讲过的操作,在没有相关的错误情况下:

    那对自动注册的情况,我能想到的办法就是:先删除已有的基本EFS各副本,重新复制一份,在设置的:取代模板项里,加入基本EFS。

    组策略,自动证书请求的EFS模板,选中这个。

    刷新组策略,在Win7机器上新建一个用户,使用EFS,看证书注册情况。

    2013年4月16日 10:18
  • 你好!谢谢!

    1、我先是复制了基本EFS模板,第一次叫基本EFS副本,后来改为了基本EFS的2了;

    2、在WIN7客户端用证书申请向导式可以申请到基本EFS的2,想请问在WIN2008企业版 SP2下客户端(包括WINXP)能自动注册基本EFS证书吗?还是每个客户端都要通过注册向导来申请?按道理应该是运用组策略之后就能自动获取到这张证书的吧?

    3、组策略,自动证书请求的EFS模板,选中这个。这个在哪里设置?

    2013年4月17日 1:35
  • 你还是先要把问题说清楚。客户端无法自动申请证书到底具体是怎么样的?未申请用户现在用EFS是什么情况?只有用户使用EFS时,才会自动申请证书哦。

    客户端无法获取证书是怎么报错?服务器端能不能看到失败的申请?现在是怎样报错?

    问题2,这里的划分是NT5,NT6。Vista以上是新系统,组策略有指示模板和其他新设置。XP据说只自动基本EFS。不过这里的相关说法有一点矛盾的地方。你先集中注意Vista以来的吧。

    问题3,我先问一下————你看的一直以来全是Windows 2003的文档吗

    2013年4月17日 7:39
  • 谢谢Flug!

    1、客户端我没去测试,我只用了我的WIN7机器,没敢用EFS加密,只有用户使用EFS时,才会自动申请证书哦。这个真不知道,我明早一回公司马上试试!以为一定要在个人证书里看到这张证书才能使用EFS加密呢。

    2、我公司里面大部分还在用xp;

    3、主要学习了程迎春小姐的视频教程,后面看的也基本是WIN2003的文档。

    4、今天打了微软客服热线,解决这个问题要1000大洋,吓得赶紧挂电话,呵呵。

    非常感谢!!!


    • 已编辑 pkslxs 2013年4月17日 14:42
    2013年4月17日 14:40
  • 我真惊了,你们居然还一直迷信旧资料,捧着用到其他系统上到今天.............来,筒子——加密文件系统上,右键——你到现在为止从来没想过?从来都没有想过??

    <br>

    ®MS怎么才要一千大洋这么便宜。现在还真是行情不好啊。

    2013年4月17日 22:47
  • 用户使用EFS时,才会自动申请证书:这个是原理上。不过我昨天又设置了一遍EFS自动,实际系统在用户登录时就把证书塞给用户了。证书里已经可以看到了。

    原理讲的过程,有已指定证书用已指定,无已指定,查询证书集,证书集无EFS用证书,向CA申请,无法从CA申请,创建自签名证书,加密。

    在从CA申请时,据说XP只支持申请基本EFS模板,Vista可以在组策略里设置模板,和禁用自签名证书。所以要照顾兼容性,就有麻烦调整来调整去设置。还有恢复代理也要小心,搞不好会乱。

    反正基本设置过程就像上面已经说的一样,个别需求就是自己看着来设了。

    不过你们这样不太明不太白的上加密系统,尤其是要用于重要内容,真的没问题?        ̄_ ̄︙           算了^〇^  ,广大顾客如有EFS无法解密问题,欢迎联系破解,千圆每兆☆不适用于智能卡和HSM用户哦;论坛用户从优~~~~

    2013年4月18日 0:00
  •  非常感谢Flug!完全接受批评!请再指教!

    1、我在XP客户端加密文件,证书也有,但那居然是到2113年的,是否为自签名整书,但下面的回复代理又是我的域管理员账号哟!请看图

    2、我把加密文件发给其他2个用户,都能打开,晕!

    2013年4月18日 2:17
  • EFS用了自签名证书,就说明你没成功从CA autoenroll到证书,所以才fall back到自签名。

    正常的EFS时自动从CA拿到证书,应该是这样的

    客户端:

    CA上:

    并且,从数据安全角度来讲,应该通过组策略,禁止客户端在EFS时可以fall back为产生自签名证书。

    Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Encrypting File System 属性里,去除勾选 Allow EFS to generate self-signed certificates when a certification authority is not available

    2013年4月18日 2:46
  • 你好!

    1、我把组策略里加密文件属性里的自颁发证书给禁止掉了,并且选中了“基本EFS 副本”了;

    2、然后再加密时报错,如果您方便,可不可以留下联系方式给我,谢谢!!!

    2013年4月18日 5:28
  • 客户端Eventlog里写啥了?
    2013年4月18日 6:16
  • 跟你说了这是Vista以来的新设置了啊。XP你不是一直都看的这类的文档吗。——你对组策略也混乱的吗?

    搞兼容性设置就只能一点一点来试。我觉得应该保留默认设置,MS在这方面应该考虑过了。

    先试Win7已完全正常否。设好自动注册恢复代理模板,用你想的恢复代理用户登陆,在组策略里添加自己,会自动注册证书搞定。这样然后再用,应该没什么问题了。

    再其他的已经是另外的问题了,我觉得再跟你这么发展着讲下去,就要没完了。

    2013年4月18日 10:09
  •  你好!能把你的实验步骤写一下给我么?

    2013年4月18日 14:24
  • 步骤就是我第二帖写的那些。结合其他回帖设置就行了。注意系统。

    和XP的兼容性问题,就要你自己反复试确定适宜的配置了。看下来这楼的直接问题回答总结就是20楼。

    你一上来就说已设置了恢复代理,结果上面贴图实际却又根本没有。该让人说什么好呢,你可以照着别人的开始,但以后使用的事还是靠得自己做的吧。

    可说问题是在你没有系统的基础啊,估计这楼从第一个回帖开始,你其实就都没看懂。

    没概念的瞎操作引起的就会是风险。要么现在既然你已经知道有自动生成自签名证书,如自己没有什么别的特殊目的,就将就着用吧。注意前提是你已学会这方面是怎么回事。EFS使用的问题,新旧倒不会有太大差别的方面,自己努力看罢。

    2013年4月18日 17:27
  • 万分感谢!

    我理了理头绪把步骤写了一下,你看对不对?

    1、在 WIN2008 SP2企业版上安装CA,域管理员账户申请一张故障恢复代理证书,导出私钥并且放置在安全的地方;

    2、在证书模板里复制基本EFS,生成一个副本,在请求处理里如果不做密码恢复代理,就把“把使用者的加密私钥存档”的勾除掉;再在安全选项里把验证用户或域用户的“读取、注册、自动注册”勾上;

    3、在企业根CA的证书模板里把刚才的基本EFS副本模板添加进来;

    4、在默认域策略里,在计算机配置-策略-windows设置-安全设置-公钥策略-加密文件系统-添加之前的故障恢复代理证书(这里只含公钥可以吗?),

    再把证书服务客户端-自动注册选为已启用;证书服务客户端-证书注册策略-AD注册策略要启用吗?疑问:公钥策略里的“自动证书申请设置”里只是能添加颁发给计算机类的证书,基本EFS是颁发给用户的,这里可以不理它?

    5、用户配置-策略-windows设置-安全设置-公钥策略-把证书服务客户端自动注册选为已启用,证书服务客户端-证书注册策略-AD注册策略要启用;

    6、刷新组策略或者重启预控和CA服务器,WIN7 客户端重启或重新登录就可以运用组策略,拿到证书进行加密;VISTA、WIN7客户端完全自动对吗?XP呢?

    2013年4月19日 5:19
  • 麻烦您再最后帮我一次!谢谢!

    日记错误如下:

    日志名称:          Application
    来源:            Microsoft-Windows-CertificateServicesClient-CertEnroll
    日期:            2013/4/19 7:57:36
    事件 ID:         13
    任务类别:          无
    级别:            错误
    关键字:           经典
    用户:            PKS\laixiaosheng
    计算机:           LAIXIAOSHENG-PC.pks.com
    描述:
    PKS\laixiaosheng 的证书注册无法注册来自 exchange.pks.com\pks-EXCHANGE-CA (RPC 服务器不可用。 0x800706ba (WIN32: 1722))的请求 ID 为 N/A 的 基本 EFS 的副本 证书。
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-CertificateServicesClient-CertEnroll" Guid="{54164045-7C50-4905-963F-E5BC1EEF0CCA}" EventSourceName="CertEnroll" />
        <EventID Qualifiers="49754">13</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2013-04-18T23:57:36.000000000Z" />
        <EventRecordID>14956</EventRecordID>
        <Correlation />
        <Execution ProcessID="0" ThreadID="0" />
        <Channel>Application</Channel>
        <Computer>LAIXIAOSHENG-PC.pks.com</Computer>
        <Security UserID="S-1-5-21-3608415040-877819285-1487604799-1245" />
      </System>
      <EventData>
        <Data Name="Context">PKS\laixiaosheng</Data>
        <Data Name="TemplateName">基本 EFS 的副本</Data>
        <Data Name="RequestId">exchange.pks.com\pks-EXCHANGE-CA</Data>
        <Data Name="CA">N/A</Data>
        <Data Name="ErrorCode">RPC 服务器不可用。 0x800706ba (WIN32: 1722)</Data>
      </EventData>
    </Event>

    • 已编辑 pkslxs 2013年4月19日 5:32
    2013年4月19日 5:26
  • 一看这个Log,不就简单了嘛,RPC服务不可用,那就检查网络连通性!微软有个测试工具叫PortQuery可以用一下。

    必要时,两端抓包,捕捉一下这个过程,看是哪一步出了问题。

    2013年4月19日 6:36

  •     <Data Name="TemplateName">基本 EFS 的副本</Data>
        <Data Name="RequestId">exchange.pks.com\pks-EXCHANGE-CA</Data>
        <Data Name="CA">N/A</Data>
        <Data Name="ErrorCode">RPC 服务器不可用。 0x800706ba (WIN32: 1722)</Data>
     

    你先认真看别人说的话...这是我第三遍说XP只支持基本EFS模板!

    步骤四,只做分号之前的。步骤五,你从哪里看来要做的?

    我步骤里说了:启用EFS!点允许啊,你在组策略里都干了些什么?

    把我说的都办了,你到底有没有从Win7开始先试过已经是不是全都正常?

    2013年4月19日 14:46
  • 我还想提一句:

    楼主是在真实环境或者说生产环境做这个测试吗?

    我现在担心的是,其实你的配置都正确了,但你的网络环境阻碍了这些功能的正常工作,你说会不会呢?

    如果你觉得我说的有道理,那么,请在一套纯净的独立环境(例如虚拟机下)做你的测试吧。

    PS:我可以负责任地告诉你,我花了不到半小时,就在虚拟机下轻松完成了你想完成的任务(当然,我的测试没包含XP客户端,因为手头虚拟机都是Win7,懒得装一台XP了),一点都没遇到障碍,先前我贴的图就是虚拟机中拿出来的。


    • 已编辑 Finy 2013年4月20日 1:43
    2013年4月20日 1:40
  • 首先非常感谢两位高手的悉心指导!特别是Flug,虽然对我蛮凶,可那都是怒其不争的意思!谢谢您!

    昨晚搞了一整夜的RPC服务器不可用的排错,无果。RPC和RPC Locator两个服务都成灰色,不能重启或禁止了,怀疑是病毒所致;今早用WIN2008 R2+XP虚拟机实验成功了,请看截图,说明我的步骤没错;下一步主要的精力要在解决RPC服务器不可用上了;

    2013年4月21日 0:17