Често срещани грешки в шаблони на Windows: причини, настройки и решения

  • Грешка в шаблона на Windows, обикновено свързана с неправилно конфигурирани сертификати.
  • Неправилната стойност на KeySpec може да причини повреди в услуги като AD FS и WAP.
  • Решаването на проблема не изисква повторно генериране на сертификатите.
  • Има специфични команди за валидиране и промяна на стойността на KeySpec.
Pablo

5 Minutos

Грешка в шаблона на Windows

Лос Грешките с конфигурационни шаблони на Windows системи могат да се дължат на множество причини, като една от най-често срещаните е неправилна конфигурация в сертификатите, използвани от услуги като Active Directory Federation Services (AD FS) или проксито на уеб приложенията (WAP). Тези видове проблеми, обикновено класифицирани под термина „Грешка в шаблона на Windows“, често се отразяват в неясни съобщения или пълна липса на ясни регистрационни файлове за грешки, което затруднява разрешаването на проблемите за системни администратори или напреднали потребители.

Една от най-често срещаните причини за тези грешки е свързана с параметъра Key Specification (KeySpec) на сертификатите. Това свойство определя дали частен ключ може да се използва за подписване, декриптиране или и двете функции. В зависимост от присвоената стойност, опитите за установяване на защитени връзки чрез SSL/TLS или влизане в страници, защитени от AD FS, може да са неуспешни. Възможно е също да възникнат проблеми, свързани с грешки при активиране на Windows.

Какво причинява грешката „windows template“ в сертификатите?

Стойността KeySpec определя използването на ключа в системи, които използват Microsoft Cryptographic API (CryptoAPI). Неправилна стойност може да причини неуспешно валидиране на сертификата, нарушавайки критични услуги. При по-стари системи, използващи традиционни криптографски доставчици (CSP), валидните стойности са:

  • 1 (AT_KEYEXCHANGE): позволява подписване и криптиране.
  • 2 (AT_SIGNATURE): позволява само подпис.

В сертификати, генерирани с модерни доставчици (CNG), тази стойност винаги ще бъде 0, тъй като разделянето между подпис и криптиране не се прилага в неговата архитектура.

Най-честата грешка възниква при присвояване на стойност 2 на сертификат, който не е изключително за подписване. Например, сертификат, използван за декриптиране на токени в AD FS, трябва да бъде зададен на 1. Ако не го направите, това може да доведе до грешки като невъзможност за установяване на SSL връзки или проблеми с влизането, без изрични съобщения, насочващи техника към действителния източник на грешката. За повече подробности относно проблемите с връзката можете да прочетете как да отстранявате грешки при рестартиране в Windows.

Последици от грешна стойност на KeySpec

Когато KeySpec не е зададен правилно, системата може да генерира събития за грешка в регистрационните файлове, като събитие 67 в обхождането на AD FS, което показва например повредена SSO бисквитка. Това се проявява в периодични повреди, които в много случаи не оставят ясна следа освен грешки на ниско ниво, регистрирани от SChannel, или следи, които не винаги се наблюдават активно.

Как да проверите стойността на KeySpec в сертификат

За да проверите стойността на KeySpec на сертификат, Microsoft препоръчва използването на инструмента от командния ред certutil. тичам certutil –v –store my предоставя подробен преглед на инсталираните сертификати. В блока CERT_KEY_PROV_INFO_PROP_ID трябва да проверите:

  • Тип доставчик: Показва дали това е наследен сертификат (стойност, различна от 0) или CNG (стойност 0).
  • KeySpec: То трябва да отговаря на предназначението на сертификата.

Очакваните стойности за различните видове AD FS сертификати са показани по-долу:

Цел на сертификата Валидна KeySpec (Legacy CSP) Валидна ключова спецификация (CNG)
Сервизна комуникация 1 N / A
Декриптиране на токени 1 N / A
Подписване на токени Или 1 2 N / A
SSL 1 0

Стъпки за коригиране на стойността на KeySpec без издаване на нов сертификат

Не е необходимо да поискате нов сертификат, за да промените стойността на KeySpec. Това може да се коригира чрез повторно импортиране на сертификата и неговия личен ключ от PFX файл. Препоръчителните стъпки са:

  1. Проверете и запазете разрешенията на текущия частен ключ.
  2. Експортирайте сертификата и неговия ключ във файл *.pfx.
  3. На всеки включен сървър (AD FS или WAP):
    1. Изтрийте текущия сертификат от хранилището.
    2. Отворете PowerShell с администраторски права.
    3. Изпълнение: certutil –importpfx certfile.pfx AT_KEYEXCHANGE
    4. Въведете PFX паролата, ако бъде поискана.
  4. Проверете отново разрешенията за частния ключ.
  5. Рестартирайте AD FS или WAP услугите според случая.

Други причини, свързани с грешката "windows template".

В допълнение към стойността KeySpec, Има други аспекти на конфигурацията, които могат да причинят грешки в заявките за сертификати. Пример е съобщението: Грешка при анализиране на заявка – Името на темата на заявката е невалидно или твърде дълго, често срещано, когато полето „Общо име“ на субекта надхвърля разрешените граници (обикновено 64 знака).

Този вид грешка може да бъде свързана и със съвпадението на името на заявителя с това на сертифициращия орган., нещо непозволено от политиките за сигурност. Възможно е също така в приложението да не е включена идентифицираща информация, което също причинява грешки. За диагностициране на различни грешки, като невъзможност за отваряне на JPG файлове в Windows, се препоръчва да експортирате заявката за сертификат и да я проверите с certutil -asn archivo.req.

Промяната на ограниченията на дължината за относителни отличителни имена (RDN) в Windows е възможна чрез настройките на системния регистър:
certutil -setreg ca\EnforceX500NameLengths 0. Това може да бъде полезно в среди, където се изисква допълнителна гъвкавост, въпреки че трябва да се отбележи, че общият PKI стандарт определя строги ограничения, които могат да бъдат уместни в определени контексти на оперативна съвместимост.

И накрая, за да проверите дали това ограничение е активно: certutil -getreg ca\EnforceX500NameLengths.

Този тип проблеми не винаги са интуитивни, тъй като грешката може да се появи без видимо съобщение в потребителския интерфейс. Например неуспех при удостоверяване чрез интерфейса за формуляри на WAP или AD FS може да се дължи на тези причини, без да се показва никакво съобщение, което усложнява диагностиката. Всяка грешка може да е взаимосвързана с други често срещани проблеми с Windows, така че е важно да разберете естеството им.

Грешки, свързани с "шаблон на Windows" Те обикновено се причиняват от неправилна конфигурация на използване на ключ или данни за обект на сертификат. Благодарение на инструменти като certutil и подробно познаване на включените параметри, е възможно да се направят прецизни настройки, които да избегнат тези повреди. Въпреки че може да изглеждат като незначителни проблеми, те пряко засягат надеждността на критичните системи и бързото им разрешаване е жизненоважно за поддържане на сигурността и стабилността на Windows средата в корпоративни среди.

Грешка при рестартиране на Windows
Свързана статия:
Как да коригирате грешки при рестартиране на Windows стъпка по стъпка