ha! tydzień rozwiązywania problemów (: wakacje to jednak piękna rzecz – to kolejna wyjaśniona tajemnica w krótkim czasie. tym razem trafił się serwer Enterprise RootCA. PKI to od jakiegoś czasu moje hobby [dzięki Pauli *] więc nie odpuściłem:
- pojedyncze Ent root CA jako issuing. standardowa 'zwalona’ instalacja u klienta czyli 'wsadził-wyjął-PKI’. no co zrobić – tak jest i trzeba z tym póki co żyć
- serwer w wersji w2k8 R2 standard
- po utworzeniu nowych szablonów, których jakoś nikt do tej pory nie zrobił, nie można ich dodać do publikacji na CA
podczas próby wyszukania jakiejś pomocy wszystkie linki dotyczyły podstawowego błędu – szablony w wersji v2 i v3 nie są obsługiwane przez wersję standard, wymagany jest enterprise. tyle, że od wersji w2k8 R2 ten limit zniesiono. żeby się upewnić postawiłem sobie wirtualkę w2k8r2std, na niej CA i na szybciorka upewniłem się, że spokojnie obsługuje v2 i v3. po długim debugowaniu w końcu znalazłem:
- atrybut 'flags’ dla obiektu 'CN=MYCANAME,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN,DC=AD’ na partycji konfiguracji zawierał wartość '2′
znaczenie tego atrybutu to:
- „2„: Enterprise CA running on Standard Edition
- „10„: Enterprise CA running on Enterprise Edition
- „5„: Standalone CA running on Standard Edition
- „9„: Standalone CA running on Enterprise Edition
prawdopodobnie maszyna była upgradowana z wersji Windows 2oo8 std a instalator nie modyfiqje takich rzeczy. pomyślałem, że to on dyktuje dostępność szablonów i trafiłem – na wirtualce, pomimo wersji std, atrybut ustawiony był na '1o’. zmiana na produkcji, replikacja, restart usługi – voila! ^^
refs:
- How to troubleshoot Certificate Enrollment in the MMC Certificate Snap-in
- Event ID 13 – Autoenrollment Error
eN.