L Chyby s konfiguračními šablonami v systémech Windows mohou být způsobeny více příčinami, jedním z nejčastějších je nesprávná konfigurace certifikátů používaných službami jako Active Directory Federation Services (AD FS) nebo Web Application Proxy (WAP). Tyto typy problémů, běžně klasifikované pod pojmem "Chyba šablony Windows", se často odrážejí v nejasných zprávách nebo úplné absenci jasných chybových protokolů, což ztěžuje řešení pro systémové administrátory nebo pokročilé uživatele.
Jedna z nejčastějších příčin těchto chyb souvisí s parametrem Key Specification (KeySpec) certifikátů. Tato vlastnost určuje, zda lze soukromý klíč použít pro podepisování, dešifrování nebo obě funkce. V závislosti na přiřazené hodnotě mohou selhat pokusy o navázání zabezpečeného připojení pomocí SSL/TLS nebo přihlášení na stránky chráněné službou AD FS. Mohou se také objevit problémy související s chybami aktivace systému Windows.
Co způsobuje chybu „šablona systému Windows“ v certifikátech?
Hodnota KeySpec určuje použití klíče v systémech, které používají Microsoft Cryptographic API (CryptoAPI). Nesprávná hodnota může způsobit selhání ověření certifikátu a narušení důležitých služeb. Na starších systémech používajících tradiční poskytovatele kryptografických služeb (CSP) jsou platné hodnoty:
- 1 (AT_KEYEXCHANGE): umožňuje podepisování a šifrování.
- 2 (AT_SIGNATURE): umožňuje pouze podpis.
V certifikátech generovaných moderními poskytovateli (CNG) bude tato hodnota vždy 0, protože v jeho architektuře není použito oddělení mezi podpisem a šifrováním.
Nejčastější chyba vzniká při přiřazení hodnoty 2 certifikátu, který není výhradně k podepisování. Například certifikát používaný k dešifrování tokenů ve službě AD FS by měl být nastaven na hodnotu 1. Pokud tak neučiníte, může dojít k chybám, jako je nemožnost navázat připojení SSL nebo problémy s přihlášením, bez explicitních zpráv, které by technika navedly ke skutečnému zdroji selhání. Další podrobnosti o problémech s připojením si můžete přečíst o tom, jak řešit chyby při restartování v systému Windows.
Důsledky nesprávné hodnoty KeySpec
Pokud není KeySpec nastavena správně, systém může generovat chybové události v protokolech, jako je událost 67 v procházení služby AD FS, což znamená například poškozený soubor cookie jednotného přihlášení. To se projevuje občasnými selháními, které v mnoha případech nezanechají žádnou jasnou stopu kromě chyb nízké úrovně zaznamenaných SChannel nebo stop, které nejsou vždy aktivně monitorovány.
Jak ověřit hodnotu KeySpec v certifikátu
Chcete-li zkontrolovat hodnotu KeySpec certifikátu, společnost Microsoft doporučuje použít nástroj příkazového řádku certutil. běh certutil –v –store my poskytuje detailní pohled na nainstalované certifikáty. V rámci bloku CERT_KEY_PROV_INFO_PROP_ID byste měli zkontrolovat:
- Typ poskytovatele: Označuje, zda se jedná o starší certifikát (hodnota jiná než 0) nebo CNG (hodnota 0).
- KeySpec: Měl by odpovídat účelu certifikátu.
Očekávané hodnoty pro různé typy certifikátů AD FS jsou uvedeny níže:
| Účel certifikátu | Platná KeySpec (starší CSP) | Platná KeySpec (CNG) |
|---|---|---|
| Servisní komunikace | 1 | N / A |
| Dešifrování tokenů | 1 | N / A |
| Podepisování tokenů | 1 o 2 | N / A |
| SSL | 1 | 0 |
Kroky k opravě hodnoty KeySpec bez vydání nového certifikátu
Pro úpravu hodnoty KeySpec nemusíte žádat o nový certifikát. To lze upravit opětovným importem certifikátu a jeho soukromého klíče ze souboru PFX. Doporučené kroky jsou:
- Zkontrolujte a uložte oprávnění aktuálního soukromého klíče.
- Exportujte certifikát a jeho klíč do souboru *.pfx.
- Na každém zapojeném serveru (AD FS nebo WAP):
- Odstraňte aktuální certifikát z úložiště.
- Otevřete PowerShell s oprávněními správce.
- Běh:
certutil –importpfx certfile.pfx AT_KEYEXCHANGE - V případě potřeby zadejte heslo PFX.
- Znovu zkontrolujte oprávnění soukromého klíče.
- Restartujte služby AD FS nebo WAP podle potřeby.
Další příčiny související s chybou "šablona systému Windows".
Kromě hodnoty KeySpec, Existují další aspekty konfigurace, které mohou způsobit chyby v žádostech o certifikát. Příkladem je zpráva: Chyba při analýze požadavku – Název předmětu požadavku je neplatný nebo příliš dlouhý, běžné, když pole „Common Name“ subjektu překročí povolené limity (obvykle 64 znaků).
Tento typ chyby může také souviset se shodou jména žadatele se jménem certifikačního orgánu., něco, co bezpečnostní zásady nepovolují. Je také možné, že v aplikaci nebyly zahrnuty identifikační údaje, což také způsobuje chyby. Pro diagnostiku různých chyb, jako je například nemožnost otevřít soubory JPG ve Windows, se doporučuje exportovat žádost o certifikát a zkontrolovat ji pomocí certutil -asn archivo.req.
Změna omezení délky pro relativní rozlišující názvy (RDN) ve Windows je možná prostřednictvím nastavení registru:
certutil -setreg ca\EnforceX500NameLengths 0. To může být užitečné v prostředích, kde je vyžadována další flexibilita, i když je třeba poznamenat, že společný standard PKI stanoví přísná omezení, která mohou být relevantní v určitých kontextech interoperability.
Nakonec zkontrolujte, zda je toto omezení aktivní: certutil -getreg ca\EnforceX500NameLengths.
Tyto typy problémů nejsou vždy intuitivní, protože chyba se může objevit bez viditelné zprávy v uživatelském rozhraní. Například selhání ověření prostřednictvím rozhraní formulářů WAP nebo AD FS může být způsobeno těmito příčinami, aniž by se zobrazila jakákoli zpráva, což komplikuje diagnostiku. Každá chyba může být propojena s dalšími běžnými problémy Windows, proto je nezbytné porozumět jejich podstatě.
Chyby související se „šablonou systému Windows“ Obvykle jsou způsobeny nesprávnou konfigurací použití klíče nebo dat předmětu certifikátu. Díky nástrojům jako certutil a detailní znalosti příslušných parametrů je možné provádět přesné úpravy, které těmto poruchám zabrání. Přestože se mohou zdát jako drobné problémy, přímo ovlivňují spolehlivost kritických systémů a jejich rychlé vyřešení je životně důležité pro zachování bezpečnosti a stability prostředí Windows v podnikových prostředích.
