Windows 域控制器布置企業CA 故障分析

■ 湖北 楊華

編者按：如今很多企業自己內部做安全認證來配置CA證書，在配置CA 過程中可能會出現各種問題。本文對部分該類問題進行了深入剖析。

在Windows服務器操作維護中，證書CA的安裝布置是一個非常重要的內容。隨著各行各業安全意識的増強，大中小企業都需要布置自己的證書系統或購買專業的證書。如果是企業內部做安全認證的話，完全可以選擇自己搭建，經濟適用。以下筆者結合自己的工作經歷，對在自己布置CA 的過程中出現的故障作深入的剖析。

圖1 域樹結構圖

工作場景

如圖1 域樹結構圖所示，需要在子域控制器A3 或成員控制器A2 上布置企業CA。其實，根據Windows 服務器的操作文檔，在A1 上布置基本的企業CA 很簡單，但到了具體的工作環境，問題出現了，如下所示。

證書CA 服務的安裝

當分別在服務器A2 和A3 上安裝CA，當配置到CA的設置類型時，只有“獨立CA”是可選的，“企業”CA 竟然是灰色，不可選的。

安裝提示：使用企業CA的用戶要求必須是域成員，并且通常處于練級狀態以頒發證書或證書策略。

有很多用戶都納悶了？服務器A2 和A3 都配置了Active Directory（AD，活動目錄），一個是子域，一個是域成員，都符合要求，為什么在A2 和A3 上不能安裝，而在主域控制器A1 上就可以順利安裝？

首先來簡單了解一下CA的兩類型：企業CA 和獨立CA。企業CA：

1.企業CA 安裝時需要AD，即計算機在活動目錄中才可以。

2.當安裝企業根時，對于域中的所用計算機，它都將會自動添加到受信任的根證書頒發機構的證書存儲區域。

3.安裝憑證：必須以Enterprise Admins 組和根域的Domain Admins 組的成員帳戶登錄。

獨立CA ：

1.CA 安裝時不需要AD。

2.一般情況下，發送到獨立CA 的所有證書申請都被設置為掛起狀態，需要管理員受到頒發。這完全出于安全性的考慮，因為證書申請者的憑證還沒有被獨立CA驗證。

從以上內容不難看出，企業CA 更適合大批量的證書的布置，且必須有AD 活動目錄服務支持。最重要的是安裝憑證必須是Enterprise Admins 組和根域的Domain Admins 組的成員帳戶登錄。這兩個組只有主域控制器下才有（在A2 和A3 上找不到這兩個組）。問題找到了，筆者迅速拿出以下解決方案：

1.以主域控制器A1 上的管理員身份登錄到子域控制器A3 或A2 上。

2.在主域控制器A1 上將子域控制器A3 或成員服務器A2 的管理員加入到Enterprise Admins 組和根域的Domain Admins 組。

原理：主域控制器A1 好比企業總部，子域控制器A3好比企業分部，如果這時企業分部要進行一項人事任免，要么總部派人來委任（這就比好方案1），要么授權分部進行任免（這就好比方案2）。

注意：CA 服務器需要與IIS 的配合，建議IIS 與CA 在一起安裝，集成度更高，不建議分開安裝，可能出現一些額外的故障。

客戶端的證書CA 的申請

當企業CA 安裝成功后，在客戶端打開瀏覽器，輸入CA 服務器的URL 地址，即可打開證書申請頁面。在訪問時需要輸入用戶名和密碼，此時輸入任意一個域用戶賬戶即可。

注意，如果客戶端無法正常打開CA 的證書申請頁面，并且出現了以下錯誤提示信息：

應用程序“DEFAULT WEB SITE/CERTSRV”中的服務器錯誤

HTTP 錯誤403.14-Forbi dden，Web 服務器被配置為不列出此目錄的內容。

在后面的錯誤信息中顯示物理路徑“C:Windowssystem32CertSrv”。

因為正常訪問是可以通過網址http://localhost/certsrv，所以我們誤以為它的物理地址就是”certsrv”。其實這只是一個虛擬目錄，真正的物理路徑應該是“C:Windowssystem32CertSrvzh-CN”，只要在原來的地址（IIS 配置中的物理地址）后面加上zh-CN 即可。

下面列舉部分在后面的申請過程中出現的故障及解決辦法。

故障1

顯示“找不到證書模板，您沒有從該的CA 申請證書的權限或訪問Active Direc tory 時出錯”。

當用戶試圖在從證書頒發機構（CA）Web 登記頁申請證書時，用戶可能會收到以上錯誤消息。

分析解決：登錄驗證，需要用域用戶登錄才行。

故障2

您的證書申請被拒絕，您的申請ID 為xxxx(數字)。部署消息為“分析申請出現錯誤ASN1 遇到了不正確的標記值。0x8009310b(ASN:267)”。

分析解決：提交的保存的申請文檔（Base-64 編碼的證書申請）格式不符，注意要精準復制那個證書文本文件中的所有內容。

故障3

“在服務器處理您的申請時出現錯誤，您的申請ID 為13。部署消息為‘構造或發布證書時出現錯誤’”。

當提交證書申請時登錄到證書服務器出現以上錯誤提示。

分析解決：證書服務器未啟動，或需要重新啟動。（提示能夠訪問http://local host/certsrv/，并不代表證書服務器啟動，只有在提交證書申請的時候才會訪問證書服務器，在“管理工具”選項中有一項“證書服務”，看是否啟動正常。）

故障4

證書申請成功并下載后，在IIS 中配置HTTPS 時，但“SSL 證書”窗口中沒有證書。

分析解決：這是因為在IIS 的證書配置服務中，還要進行“完成證書申請”，把下載的證書關聯到一個好記的名稱，這樣它就會出現在“SSL 證書”窗口中供用戶選擇了。

故障5

與故障4 一樣，但此時已完成證書下載，在IIS 的服務器證書里可以看到證書。

分析解決：在申請證書時有很多模板，我們此時申請的證書應該是“Web 服務器”模板，但系統默認的是“用戶”模板，如果沒有更改，則我們下申請的就是“用戶”證書，當然不會出現在“SSL證書”窗口選項中了。只有重新選擇正確的模板再做一次證書即可。