Почему доступ запрещен при установке сертификата SSL на IIS 5?

Question

Я работаю со службой поддержки, которая должна устанавливать сертификаты SSL на поддерживаемом им веб-сервере. У него есть права локального администратора на сервер через группу безопасности домена. У него также есть разрешения на нашем внутреннем ЦС, работающем с центром сертификации Windows 2003 Server: «Запросить сертификат» и «Выдать и управлять сертификатами».

Сервер, с которым он работает, работает под управлением Windows 2000 SP4 / IIS 5. Когда он пытается создать сертификат онлайн-сервера, мастер IIS завершается сообщением «Не удалось установить. Доступ запрещен». Просмотр событий не работает должным образом, поэтому я не могу найти там никаких подробностей. Я подозреваю, что проблема разрешена локально, а не с CA.

Моя учетная запись является учетной записью администратора домена, и я знаю, что могу выполнить эту операцию, однако мне нужно выполнить эту работу для тех, кто не является администратором домена.

Есть идеи, почему он не может выполнить эту операцию?

Answer 1

У меня была точно такая же проблема несколько месяцев назад, когда я настраивал сертификат для клиента.

Есть папка MachineKeys, для которой администратору нужны права -

\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys

дать Администратор (или группа администраторов) Полный доступ к этому каталогу. Я не думаю, что вам нужно перезапускать IIS, но это никогда не повредит.

Понятия не имею, почему Admin не контролирует это по умолчанию. Как только это изменится, мастер создания сертификата успешно сгенерирует запрос сертификата.

Я думаю, что где-то есть даже статья Microsoft KB об этом.

РЕДАКТИРОВАТЬ: Вот статья KB: http://support.microsoft.com/kb/908572

-Jon

Answer 2

Если вы продлеваете сертификат, возможно, вы импортировали новый промежуточный сертификат (.pb7) перед удалением существующего (просроченного) сертификата из IIS. Вы получите сообщение об отказе в доступе, так как старый и новый сертификаты относятся к одному и тому же домену.

Таким образом, к тому моменту, когда вы получите эту ошибку отказа в доступе, вы должны сделать три вещи.

1. Удалите все сертификаты для этого доменного имени из IIS, включая новый, который вы только что импортировали.
2. Вернитесь на консоль1 и удалите сертификат для вашего доменного имени из локального компьютера \ Запросы на регистрацию сертификатов \ Сертификаты.
3. Начать заново.