Uobičajene greške u Windows predlošcima: uzroci, postavke i rješenja

  • Greška Windows šablona koja se obično povezuje s pogrešno konfiguriranim certifikatima.
  • Neispravna vrijednost KeySpec može uzrokovati kvarove u uslugama kao što su AD FS i WAP.
  • Rješavanje problema ne zahtijeva regeneraciju certifikata.
  • Postoje posebne naredbe za provjeru valjanosti i promjenu KeySpec vrijednosti.
Pablo

5 minuta

Greška Windows šablona

u Greške s konfiguracijskim predlošcima na Windows sistemima mogu biti uzrokovane višestrukim uzrocima, a jedna od najčešćih je pogrešna konfiguracija u certifikatima koje koriste usluge kao što su Active Directory Federation Services (AD FS) ili Web Application Proxy (WAP). Ove vrste problema se obično klasifikuju pod terminom «Greška Windows šablona», često se odražavaju u nejasnim porukama ili potpunom odsustvu jasnih evidencija grešaka, što otežava rješavanje za sistemske administratore ili napredne korisnike.

Jedan od najčešćih uzroka ovih grešaka je vezan za parametar specifikacije ključa (KeySpec) certifikata. Ovo svojstvo definira može li se privatni ključ koristiti za potpisivanje, dešifriranje ili obje funkcije. U zavisnosti od dodeljene vrednosti, pokušaji uspostavljanja bezbednih veza pomoću SSL/TLS-a ili prijavljivanja na stranice zaštićene AD FS-om mogu biti neuspešni. Mogu se pojaviti i problemi vezani za greške pri aktivaciji Windows-a.

Što uzrokuje grešku "windows šablona" u certifikatima?

Vrijednost KeySpec određuje upotrebu ključa unutar sistema koji koriste Microsoft Cryptographic API (CryptoAPI). Neispravna vrijednost može uzrokovati neuspjehe provjere valjanosti certifikata, ometajući kritične usluge. Na starijim sistemima koji koriste tradicionalne kriptografske provajdere (CSP), važeće vrijednosti su:

  • 1 (AT_KEYEXCHANGE): omogućava potpisivanje i šifriranje.
  • 2 (AT_POTPIS): dozvoljava samo potpis.

U certifikatima generiranim sa modernim dobavljačima (CNG), ova vrijednost će uvijek biti 0, budući da se razdvajanje između potpisa i enkripcije ne primjenjuje u njegovoj arhitekturi.

Najčešća greška nastaje kada se dodijeli vrijednost 2 certifikatu koji nije isključivo za potpisivanje. Na primjer, certifikat koji se koristi za dešifriranje tokena u AD FS-u trebao bi biti postavljen na 1. Ako to ne učinite, to može dovesti do grešaka kao što su nemogućnost uspostavljanja SSL veza ili problemi sa prijavom, bez eksplicitnih poruka koje vode tehničara do stvarnog izvora greške. Za više detalja o problemima s vezom, možete pročitati o tome kako riješiti greške pri ponovnom pokretanju u sustavu Windows.

Posljedice pogrešne KeySpec vrijednosti

Kada KeySpec nije ispravno postavljen, sistem može generirati događaje greške u zapisnicima, kao što je događaj 67 u AD FS indeksiranju, što ukazuje na, na primjer, oštećeni SSO kolačić. Ovo se manifestira u povremenim kvarovima koji, u mnogim slučajevima, ne ostavljaju jasan trag osim grešaka niskog nivoa koje je evidentirao SChannel ili tragova koji se ne prate uvijek aktivno.

Kako provjeriti vrijednost KeySpec u certifikatu

Da biste provjerili KeySpec vrijednost certifikata, Microsoft preporučuje korištenje alata komandne linije certutil. Bježi certutil –v –store my pruža detaljan prikaz instaliranih certifikata. Unutar bloka CERT_KEY_PROV_INFO_PROP_ID treba provjeriti:

  • ProviderType: Označava da li je ovo naslijeđeni certifikat (vrijednost različita od 0) ili CNG (vrijednost 0).
  • Ključna specifikacija: Trebalo bi da odgovara namjeni certifikata.

Očekivane vrijednosti za različite tipove AD FS certifikata prikazane su u nastavku:

Svrha certifikata Važeća specifikacija ključa (naslijeđeni CSP) Važeća specifikacija ključa (CNG)
Servisna komunikacija 1 N / A
Dešifriranje tokena 1 N / A
Potpisivanje tokena 1 o 2 N / A
SSL 1 0

Koraci za ispravljanje KeySpec vrijednosti bez izdavanja novog certifikata

Ne morate zahtijevati novi certifikat da biste promijenili vrijednost KeySpec. Ovo se može podesiti ponovnim uvozom certifikata i njegovog privatnog ključa iz PFX datoteke. Preporučeni koraci su:

  1. Provjerite i sačuvajte dozvole trenutnog privatnog ključa.
  2. Izvezite certifikat i njegov ključ u *.pfx datoteku.
  3. Na svakom uključenom serveru (AD FS ili WAP):
    1. Izbrišite trenutni certifikat iz trgovine.
    2. Otvorite PowerShell s administratorskim privilegijama.
    3. Trčanje: certutil –importpfx certfile.pfx AT_KEYEXCHANGE
    4. Unesite PFX lozinku ako se to zatraži.
  4. Ponovo provjerite dozvole privatnog ključa.
  5. Ponovo pokrenite AD FS ili WAP usluge prema potrebi.

Ostali uzroci povezani su s greškom "šablon za Windows".

Pored vrijednosti KeySpec, Postoje i drugi aspekti konfiguracije koji mogu uzrokovati greške u zahtjevima za certifikate. Primjer je poruka: Greška raščlanjivanja zahtjeva – Naziv subjekta zahtjeva je nevažeći ili predugačak, uobičajeno kada polje "Common Name" subjekta premašuje dozvoljena ograničenja (obično 64 znaka).

Ova vrsta greške takođe može biti povezana sa podudaranjem imena podnosioca zahteva sa imenom organa za sertifikaciju., nešto što nije dozvoljeno sigurnosnim politikama. Također je moguće da podaci za identifikaciju nisu uključeni u aplikaciju, što također uzrokuje greške. Za dijagnosticiranje raznih grešaka, kao što je nemogućnost otvaranja JPG datoteka u Windowsu, preporučuje se da izvezete zahtjev za certifikat i pregledate ga pomoću certutil -asn archivo.req.

Promjena ograničenja dužine za relativna različita imena (RDN-ove) u Windows-u je moguća kroz postavke registra:
certutil -setreg ca\EnforceX500NameLengths 0. Ovo može biti korisno u okruženjima u kojima je potrebna dodatna fleksibilnost, iako treba napomenuti da zajednički PKI standard postavlja stroga ograničenja koja mogu biti relevantna u određenim kontekstima interoperabilnosti.

Na kraju, da provjerite je li ovo ograničenje aktivno: certutil -getreg ca\EnforceX500NameLengths.

Ove vrste problema nisu uvijek intuitivne, jer se greška može pojaviti bez vidljive poruke u korisničkom interfejsu. Na primjer, neuspjeh u autentifikaciji putem sučelja WAP ili AD FS obrazaca može biti uzrokovan ovim uzrocima bez prikaza poruke, što komplikuje dijagnozu. Svaka greška može biti povezana s drugim uobičajenim Windows problemima, tako da je bitno razumjeti njihovu prirodu.

Greške vezane za "windows šablon" Obično su uzrokovani neispravnom konfiguracijom upotrebe ključa ili podataka o predmetu certifikata. Zahvaljujući alatima poput certutil i detaljno poznavanje uključenih parametara, moguće je izvršiti precizna podešavanja koja izbjegavaju ove kvarove. Iako mogu izgledati kao manji problemi, oni direktno utiču na pouzdanost kritičnih sistema, a njihovo brzo rešavanje je od vitalnog značaja za održavanje bezbednosti i stabilnosti Windows okruženja u korporativnim okruženjima.

Greška pri ponovnom pokretanju Windowsa
Vezani članak:
Kako ispraviti greške pri ponovnom pokretanju Windowsa korak po korak