zender82
Newbie | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Есть 2821 VSEC/K9 пытаюсь поднять на нем ВПН сервер с авторизацией в локальном центре сертификации:
-------------------------------------------------
crypto pki trustpoint VPNCA
enrollment mode ra
enrollment url http://nameCA:80/certsrv/mscep/mscep.dll
revocation-check crl
!
!
crypto pki certificate chain VPNCA
certificate ca 10402737A0B34FBF4E3C4221603A897D
30820476 3082035E A0030201 02021010 402737A0 B34FBF4E 3C422160 3A897D30
0D06092A 864886F7 0D010105 05003044 31123010 060A0992 268993F2 2C640119 ..............
......................... и т.д.
!
--------------------------------------------------
Птом
Делаю:
crypto pki enroll VPNCA и наблюдаю:
--------------------------------------------------
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password: ничего не ввожу
Re-enter password: ничего не ввожу
% The subject name in the certificate will include: name.router.ua
% Include the router serial number in the subject name? [yes/no]: n
% Include an IP address in the subject name? [no]: n
Request certificate from CA? [yes/no]: y
% Certificate request sent to Certificate Authority
% The 'show crypto ca certificate VPNCA verbose' commandwill show the fingerprint.
router(config)#
000799: Nov 11 16:38:35.254: CRYPTO_PKI: Certificate Request Fingerprint MD5: 01C7A7D9 B3A54CDF 5A8BC105 FAE40D3B
000800: Nov 11 16:38:35.254: CRYPTO_PKI: Certificate Request Fingerprint SHA1: D8FB337E 81C7B960 BEA50EF2 52530E5E 8A8FD82C
000801: Nov 11 16:38:37.390: %PKI-6-CERTREJECT: Certificate enrollment request was rejected by Certificate Authority.
-------------------------------------------------
Вроде все делаю правильно. А такая вот хрень...
При этом на сервере СА который также является контролером домена выскакивает в логах:
--------------------------------------------------
Event Type: Error
Event Source: SCEP Add-on
Event Category: None
Event ID: 29
Date: 11.11.2007
Time: 18:38:37
User: N/A
Computer: UAKIESDC01
Description:
SCEP Add-on cannot verify the password in the certificate request. Please find support information at http://nameCA/certsrv/mscep/mscephlp.htm.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
--------------------------------------------------
SCEP установлен вроде правильно, крипто провайдер центра СА и SCEP - один и тотже, права на http://nameCA/certsrv/mscep/ на IIS дал анонимоус, что бы точно не отрубило. Пользователь под которым стартует SCEP входит в группу IIS_WPG
Поискал на форумах - говорят что это может быть из того что в имени СА есть "non alphabet" символы. У меня в имени центра присутсвует пробел, вот так - "ИмяЦентра СА" (Дейсвтительно при установке - The SCEP Add-on for Certificate Services cannot be installed on a CA that has any non-alphanumeric characters (&,*, :, ;, ', ", etc.) in its name)
Подскажите чито нибудь, действительно ли это так или грабли не здесь? |
