Windows域控制器布置企业CA故障分析

2024年4月19日发(作者：)

责任编辑：赵志远

故障诊断与处理

Trouble Shooting

Windows域控制器

布置企业CA故障分析

■ 湖北 杨华

在Windows

编者按： 如今很多企业自己内部做安全认证来配置CA

的设置类型时，

服务器操作维

证书，在配置CA过程中可能会出现各种问题。本文对部

只有“独立CA”

护中，证书CA

分该类问题进行了深入剖析。

是可选的，“企

的安装布置是

业”CA竟然是灰

一个非常重要的内容。随着

色，不可选的。

各行各业安全意识的増强，

安装提示：使用企业CA

大中小企业都需要布置自己

的用户要求必须是域成员，

的证书系统或购买专业的证

并且通常处于练级状态以

书。如果是企业内部做安全

颁发证书或证书策略。

认证的话，完全可以选择自

有很多用户都纳闷了？

己搭建，经济适用。以下笔

图1 域树结构图

服务器A2和A3都配置了

者结合自己的工作经历，对

Active Directory（AD，活

在自己布置CA的过程中出

的操作文档，在A1上布置基

动目录），一个是子域，一个

现的故障作深入的剖析。

本的企业CA很简单，但到了

是域成员，都符合要求，为什

具体的工作环境，问题出现

么在A2和A3上不能安装，

工作场景

了，如下所示。

而在主域控制器A1上就可

如图1域树结构图所示，

以顺利安装？

需要在子域控制器A3或成

证书CA服务的安装

首先来简单了解一下CA

员控制器A2上布置企业CA。

当分别在服务器A2和

的两类型：企业CA和独立

其实，根据Windows服务器

A3上安装CA，当配置到CA

CA。

组Bridge-

没有了聚合配置，聚合建立失

PUTE保护功能，而楼层交换

Aggregation17配置的是默

败，所以网络出现环路，产生

机的H3C V5平台不支持STP

认的静态聚合。而静态聚合

广播风暴。

端口的DISPUTE保护机制，

出现故障时不会自动删除，只

二是核心交换机的H3C

因而DISPUTE保护功能没有

能手工删除，对端楼层交换机

V7平台支持STP端口的DIS

正常发挥作用。

投稿信箱：

**********************

2020.11

153

【上接第152页】

Trouble Shooting

故障诊断与处理

责任编辑：赵志远

企业CA：

1.企业CA安装时需要

AD，即计算机在活动目录中

才可以。

2.当安装企业根时，对

于域中的所用计算机，它都

将会自动添加到受信任的根

证书颁发机构的证书存储区

域。

3.安装凭证：必须以

1.以主域控制器A1上

在客户端打开浏览器，输入

Enterprise Admins组和根

的管理员身份登录到子域控

CA服务器的URL地址，即可

域的Domain Admins组的成

制器A3或A2上。

打开证书申请页面。在访问

员帐户登录。

2.在主域控制器A1上

时需要输入用户名和密码，

独立CA ：

将子域控制器A3或成员服

此时输入任意一个域用户账

安装时不需要AD。

务器A2的管理员加入到

户即可。

2.一般情况下，发送到

Enterprise Admins组和根

注意，如果客户端无法正

独立CA的所有证书申请都

域的Domain Admins组。

常打开CA的证书申请页面，

被设置为挂起状态，需要管

原理：主域控制器A1好

并且出现了以下错误提示信

理员受到颁发。这完全出于

比企业总部，子域控制器A3

息：

安全性的考虑，因为证书申

好比企业分部，如果这时企业

应用程序“DEFAULT WEB

请者的凭证还没有被独立CA

分部要进行一项人事任免，要

SITE/CERTSRV”中的服务器

验证。

么总部派人来委任（这就比好

错误

从以上内容不难看出，

方案1），要么授权分部进行

HTTP错误403.14–Forbi

企业CA更适合大批量的证

任免（这就好比方案2）。

dden，Web服务器被配置为

书的布置，且必须有AD活动

不列出此目录的内容。

目录服务支持。最重要的是

注意：CA服务器需要与

在后面的错误信息中显

安装凭证必须是Enterprise

IIS的配合，建议IIS与CA在

示物理路径“C:Windows

Admins组和根域的Domain

一起安装，集成度更高，不建议

system32CertSrv”。

Admins组的成员帐户登录。

分开安装，可能出现一些额外

因为正常访问是可以通

这两个组只有主域控制器下

的故障。

过网址localhost/

才有（在A2和A3上找不到

certsrv，所以我们误以为它

这两个组）。问题找到了，笔

客户端的证书CA的申请

的物理地址就是”certsrv”。

者迅速拿出以下解决方案：

当企业CA安装成功后，

其实这只是一个虚拟目录，

154

2020.11

投稿信箱：

**********************

责任编辑：赵志远

故障诊断与处理

Trouble Shooting

真正的物理路径应该是“C:

故障3

分析解决：这是因为在

Windowssystem32CertSrv

“在服务器处理您的申请

IIS的证书配置服务中，还

zh-CN”，只要在原来的地址

时出现错误，您的申请ID为

要进行“完成证书申请”，把

（IIS配置中的物理地址）后

13。部署消息为‘构造或发

下载的证书关联到一个好记

面加上zh-CN即可。

布证书时出现错误’”。

的名称，这样它就会出现在

下面列举部分在后面的

当提交证书申请时登录

“SSL证书”窗口中供用户选

申请过程中出现的故障及解

到证书服务器出现以上错误

择了。

决办法。

提示。

分析解决：证书服务器

故障5

故障1

未启动，或需要重新启动。

与故障4一样，但此时已

显示“找不到证书模板，

（提示能够访问local

完成证书下载，在IIS的服

您没有从该的CA申请证书

host/certsrv/，并不代表证

务器证书里可以看到证书。

的权限或访问Active Direc

书服务器启动，只有在提交

分析解决：在申请证书

tory时出错”。

证书申请的时候才会访问证

时有很多模板，我们此时申

当用户试图在从证书颁

书服务器，在“管理工具”选

请的证书应该是“Web服务

发机构（CA）Web登记页申请

项中有一项“证书服务”，看

器”模板，但系统默认的是

证书时，用户可能会收到以

是否启动正常。）

“用户”模板，如果没有更改，

上错误消息。

则我们下申请的就是“用户”

分析解决：登录验证，需

故障4

证书，当然不会出现在“SSL

要用域用户登录才行。

证书申请成功并下载后，

证书”窗口选项中了。只有

在IIS中配置HTTPS时，但

重新选择正确的模板再做一

故障2

“SSL证书”窗口中没有证书。

次证书即可。

您的证书申请被拒绝，您

的申请ID为xxxx(数字)。

部署消息为“分析申请出现

错误ASN1遇到了不正确的

标记值。0x8009310b(ASN:

267)”。

分析解决：提交的保存

的申请文档（Base-64编码的

证书申请）格式不符，注意要

精准复制那个证书文本文件

中的所有内容。

投稿信箱：

**********************

2020.11

155