Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Chyba ICA.CZ a Autoenrollmentu ve Windows 7 a Windows 2008 a novějších
listopad 13
Chyba ICA.CZ a Autoenrollmentu ve Windows 7 a Windows 2008 a novějších

Dneska jsme rozřešili pěknou chybku, kterou sdílejí ica.cz a funkce zvaná autoenrollment ve Windows 7 a novějších. Říkám sdílejí, protože se nedá až tak úplně přesně říct, čí to je chyba. Jestli I.CA, nebo Windows. Windows 8 i 7 se v tomhle ohledu chovají poněkud nečekaně, ale na druhé straně se tak chovají konzistentně už pěkně dlouho (od roku 2006). Takže by stálo zato zamyslet se, jestli to není spíš chyba I.CA.

No o co vlastně jde

Přes webové rozhraní I.CA na adrese http://ica.cz/Komercni-certifikat si zažádáte o komerční certifikát pro server. To je tedy požadavek na TLS serverový certifikát.

Pokud si požádáte z Windows XP, nebo Windows 2003, je všechno v pořádku. Tedy skoro všechno, ale o tom až příště. Pokud si ale požádáte z Windows 7, Windows 8, nebo Windows 2008 a Windows 2012, máte možná problém. Odhlédněme i od faktu, že to potřebuje nainstalovat Java.

Problém máte v tom případě, že máte počítač v doméně a máte také zapnut autoenrollment pro uživatele. On vám totiž do osmi hodin tu žádost sám od sebe vymaže. Bez náhrady. Takže pokud si nestihnete certifikát donést z CA a naimportovat, ztratí se vám.

Autoenrollment totiž dělá každých 8 hodin čištění seznamu požadavků, které jsou starší než 60 dnů. A on ten I.CA požadavek je poměrně dost starý. Je starý cca 412 let :-)

Oni totiž ten požadavek vytváří tak, že neobsahuje žádné datum začátku ani konce platnosti. Narozdíl od normálního Microsoft průvodce a jakýchkoliv zvyků ma Microsoft platformě. Viz. tento výpis z certutil:

X509 Certificate:
Version: 3
Serial Number: 0102
Signature Algorithm:
Algorithm ObjectId:
  1.2.840.113549.1.1.11
  sha256RSA
Algorithm Parameters:
05 00
Issuer:
C=CZ
CN=www.sevecek.com

NotBefore: EMPTY
NotAfter: EMPTY

Subject:
C=CZ
CN=www.sevecek.com

Public Key Algorithm:
Algorithm ObjectId:
  1.2.840.113549.1.1.1
  RSA (RSA_SIGN)
Algorithm Parameters:
05 00

Normální požadavky od Microsftu mají datum platnosti ode "dneška" jeden den. Ona ta platnost je vcelku jedno. Autoritám je to jedno. Certifikační autorita (CA) vám vydá certifikát i na základě požadavku, který už několik let neplatí. Ale prostě Windows ty požadavky generují s aktuálním datem.

Takže potom autoenrollment funguje. Narozdíl od I.CA javového apletu, který to vytvoří bez expirace. Takže je tam vlastně rok 1601. A autoenrollment to pak smaže. Autoenrollment běží periodicky po každém přihlášení (1 minutu) a potom každých 8 hodin. Takže vám ten požadavek zmizí dříve, než byste možná čekali :-)

Proč to na Windows XP nedělalo?

Nevím. Podle dokumentace (kterou najdete tu, a nebo tu) to prostě maže všechny požadavky, které jsou starší než 60 dnů. Je to podle mě tím, že dříve autoenrollment mazal jen požadavky, ve které se odkazovaly na nějakou šablonu certifikátu z Active Directory (certificate template).

Na Windows Vista, 7 a 8 se to prostě jenom trošku změnilo tak, že autoenrollment bere každý požadavek, padni komu padni.

Řešení?

Buď si vypněte autoenrollment pro uživatele. Ono to ani není úplně nejčastější, že by někdo měl autoenrollment pro uživatele. Uživatelské certifikáty se prostě vyskytují méně často, než počítačové. Takže chápu, že si toho v I.CA ještě nevšimli.

Nebo si tu žádost rychle vyexportujte do .PFX ať si ji zachráníte.

Comments

Re: Chyba ICA.CZ a Autoenrollmentu ve Windows 7 a Windows 2008 a novějších

... takže se mi opět potvrzuje, že lepší než si instalovat podezřelé Java pludžiny, je prostě si vygenerovat tu žádost standardními prostředky Windows, byť jejich ovládání není až tak úplně intuitivní:

https://www.sevecek.com/Lists/Posts/Post.aspx?ID=86
ondass on 13.11.2012 19:16

stejná situace i s kvalifikovanými certifikáty

Výborně! Tak konečně víme, kde byl zakopaný pes :-)
Podobný problém jsme řešili i u nás, ovšem s uživatelskými kvalifikovanými certifikáty - uživatelé si stěžovali, že nemohou dokončit proces vydání nového certifikátu I.CA a my zjistili, že je to z důvodu mizejících certificate enrollment request. Poukazovali jsme na "podivné" datum vytvoření 1.1.1601, ale na Helpdesku I.CA nikdo nevěděl o co by se mohlo jednat, tak jsme uživatelům doporučovali, ať si ihned po odeslání žádosti provedou export do PFX  :-)
Díky za objasnění.
azarro on 14.11.2012 12:39

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments