Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описано решение для устранения проблемы, из-за которой обновление сертификата агента регистрации Exchange (автономный запрос) с помощью NDES завершается сбоем.
Область применения: Windows Server 2008 R2 с пакетом обновления 1 (SP1)
Исходный номер базы знаний: 2712186
Симптомы
При попытке продлить сертификат агента регистрации Exchange (автономный запрос), используемого NDES, из консоли хранилища сертификатов компьютера в MMC вы получите сообщение об ошибке "Состояние: недоступно".
Причина
Служба регистрации сетевых устройств (NDES) запрашивает два сертификата в соответствии со следующими двумя шаблонами сертификатов, настроенными с помощью параметра "Предполагаемое назначение" (расширенные использование ключей) в качестве агента запроса сертификата:
- Шифрование CEP.
- Агент регистрации Exchange (автономный запрос).
При установке службы NDES на сервере Windows Server 2008 требуется предоставить пользователю домена, который NDES будет использовать для авторизации запросов сертификатов. Таким образом, существуют различные контексты безопасности, которые следует учитывать: контекст установщика (который устанавливает NDES) и контекст службы (пользователь домена, предоставленный во время установки, и под которым NDES выполняется позже). Сертификат агента регистрации регистрируется во время установки и в контексте установщика, но будет загружен NDES позже в контексте службы. По приведенной выше причине сертификат агента регистрации (и сертификат шифрования CEP) должен храниться в общем хранилище, к которому можно получить доступ, и выбрано хранилище сертификатов компьютера.
Тем не менее, так как для шаблона сертификата "Агент регистрации Exchange (автономный запрос)" задано значение "User", мы не сможем обновить шаблон сертификата "Агент регистрации Exchange (автономный запрос)" в консоли MMC (хранилище сертификатов компьютера) из-за несоответствия типа субъекта. Ошибка "Состояние: недоступно" будет возвращена в этой ситуации.
Примечание. Эта проблема не возникает при попытке продлить шаблон сертификата CEP, так как для его типа субъекта задано значение Computer или other Device. Таким образом, продление этого сертификата может завершиться успешно, пока у вас есть достаточно разрешений на системный и шаблон сертификатов.
Решение
Используйте средство certreq.exe для продления сертификата агента регистрации Exchange (автономный запрос) с помощью следующих действий:
Создайте файл с именем Request.inf со следующим содержимым:
[версия]
Signature="$Windows NT$"
[NewRequest]
RenewalCert="<Certificate Hash>"
MachineKeySet=TRUEПримечание.
INF-файл содержит входные параметры, определяющие параметры запроса сертификата. В приведенном выше INF-файле программа командной строки certreq.exe продлить сертификат с указанным хэшом сертификата. Вы можете получить хэш сертификата агента регистрации Exchange (автономный запрос), скопировав значение расширения t hmbprint сертификата, полученного на вкладке "Сведения" сертификата. Например, если отпечаток сертификата равен "5 3 60 8f 10 49 1d 50 bf a2 9f 06 17 96 8a 93 05 13 cc b9 55", нам потребуется изменить содержимое в указанные ниже строки:
[версия]
Signature="$Windows NT$"
[NewRequest]
RenewalCert="53 60 8f 10 49 1d 50 bf a2 9f 06 17 96 8a 93 05 13 cc b9 55"
MachineKeySet=TRUEПримечание.
MachineKeySet имеет значение True, поэтому сертификат и его закрытый ключ будут храниться в хранилище сертификатов компьютера.
Примечание.
Чтобы открыть хранилище сертификатов компьютера, см. следующую статью technet: добавьте оснастку "Сертификаты" в MMC", чтобы добавить оснастку сертификатов в MMC .
Выполните следующие три команды, чтобы обновить старый сертификат агента регистрации:
CertReq.exe -New Request.inf Certnew.req CertReq.exe -Submit Certnew.req Certnew.cer CertReq.exe -Accept Certnew.cerПримечание.
- Для выполнения описанных выше действий вам потребуется разрешение администратора и разрешение на регистрацию сертификатов. Если запрос на регистрацию должен ждать утверждения руководителя ЦС, обратитесь к менеджеру ЦС, чтобы утвердить запрос. Или укажите файл запроса, созданный в первой команде диспетчеру ЦС, и попросите сертификат, чтобы мы могли использовать третью команду для установки сертификата.
- Описанные выше действия применяются к ситуации, когда шаблон сертификата по умолчанию используется для NDES. В случае, если NDES настроен на использование определенного шаблона, измените содержимое inf-файла соответствующим образом. Дополнительные сведения о синтаксисе файла запроса см. в следующей статье:
Приложение 3. Синтаксис Certreq.exe - При выполнении первой команды выше появится диалоговое окно, чтобы подтвердить сертификат, который требуется продлить. Убедитесь, что выбран старый сертификат агента регистрации и нажмите кнопку "ОК".
- Во второй команде появится другое диалоговое окно, чтобы выбрать сервер ЦС для выдачи обновленного сертификата агента регистрации. Выберите соответствующий ЦС и нажмите кнопку "ОК".