本文主要介绍安装 Active Directory 证书服务时的常见错误。在服务器管理器上配置设置时,SafeNet Luna Cryptographic Key Provider 的选项不可用。
CA 服务不工作。
提供程序名称:SafeNet Key Storage Provider
SafeNet Key Storage Provider:提供程序 DLL 未能正确初始化。
CertUtil:-csplist 命令失败:0x80090030 (-2146893776 NTE_DEVICE_NOT_READY)
CertUtil:The device that is required by this cryptographic provider is not ready for use(此加密提供程序所需的设备尚未准备好使用)
尽管安装了 KSPConfig 并成功完成了所有 HSM 设置,但在配置 ADCS 以颁发 CA 时,我们没有获得 SafeNet Luna 加密密钥提供程序的选项。
我们确实运行了 certutil -csplist 来检查 SafeNet Key Storage Provider 是否配置正确。
检查 vtl 验证是否正常工作。
尝试再次重新安装 KSP 配置。
我们运行 Regedit 来检查注册表中是否有 SafeNet 的选项
这是 SafeNet HSM 配置的一般错误。为了解决这个问题,我们所做的是通过重新注册帐户并重新启动系统来重新配置 HSM。它确实解决了这种情况下的问题。
您可以使用 KspConfig 实用程序为您的分区配置 KSP。加密官员必须使用客户端上的管理员权限完成此过程。
您可以向 KSP 注册以下用户/域组合:
具有特定于客户端的域的管理员用户。默认 Windows 域的格式为 WIN-XXXXXXXXXXX。
具有NT-AUTHORITY 域的SYSTEM 用户
配置工具向特定用户注册 Crypto Officer 密码/质询,以便只有该用户可以解锁分区(Partion)。
1.在 Windows 资源管理器中,导航到 Luna KSP 安装目录并 以 管理员 用户身份启动KspConfig 。
2.在左侧面板中,双击 注册或查看安全库。输入 cryptoki.dll的文件路径 或单击浏览找到它。
<client_install_dir> \cryptoki.dll
点击 Register(注册) 完成注册。
3.在左侧面板中,双击 Register HSM Slots。选择要注册的 管理员 用户、客户端域和Slot(可用插槽)。输入 CO 密码/挑战,然后单击 Register Slot。
4.选择 SYSTEM 用户和 NT-AUTHORITY 域并注册插槽。
5.对您想向 KSP 注册的任何其他可用Slot重复步骤 3-4。
(一个常见的错误是只重新配置它而不重新启动系统)。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!