Назад |
Перейти на главную страницу
Шаблоны центра сертификации Windows для проблем
У меня проблема в том, что я не могу выдавать самодельные шаблоны сертификатов в центре сертификации, то есть в центре сертификации, щелкните правой кнопкой мыши шаблоны сертификатов и выберите шаблон сертификата для выдачи. Мои шаблоны не отображаются.
Ситуация (с некоторыми изменениями в хронологическом порядке):
- 1 лес; 2 домена (A.local и B.local)
- 1 главный CA (root-ca) и 2 sub-ca (sub-ca1 и sub-ca2)
- Main-ca: установлен на контроллере домена A.local
- Sub-ca1: установлен на контроллере домена B.local
Sub-ca2: выдан только сертификат для sub-ca2: sub-ca - это ca на базе Linux.
Обновился с Win2008R2 до Win2019 -> ЦС экспортирован с dc_A_2008R на dc_A_2019
- sub-ca1 был удален с контроллера домена, а B.local был удален, остался только A.local
- Репликация на все контроллеры домена A
Аннулированы все сертификаты, выданные домену B.local, а также отозван сертификат для sub-ca1
Root-ca работает для компьютерных сертификатов (зарегистрирован GPO)
- Root-ca работает с веб-запросами сертификатов (с использованием браузера), такими как веб-серверы.
- Root-ca работает для пользовательских сертификатов
Замечание: После переноса центра сертификации на новый DCdc_a_2019 я также обновил точку распространения списка отзыва сертификатов.
Итак, после поиска в Google я обнаружил следующие проблемы, которые могут быть причиной проблемы:
- Дождитесь репликации, чтобы все шаблоны были реплицированы на все контроллеры домена -> это сделано
- B.local полностью удален из схемы, PDC…
- Удалите sub-ca1 вручную на сайтах и сервисах AD (я тоже это сделал)
Ошибки в журнале событий:
- Запрос был для шаблона сертификата, который не поддерживается политикой служб сертификации Active Directory (0x80094800).
- Службе сетевого ответчика не удалось найти сертификат подписи для конфигурации.
Дополнительное замечание: Я также не могу добавить OSCP-Responder в качестве шаблона.
Есть идеи, как решить. Как отлаживать?
Хорошо, я нашел здесь проблему и решение: https://securitymusings.com/article/1733/cant-create-a-new-certificate-template-to-issue
Если в дальнейшем ссылка работать не будет:
- Откройте ADSIEdit.msc
- Щелкните правой кнопкой мыши на Редактор ADSI - Подключить
- Под точка подключения Выбрать Конфигурация и хорошо
- Перейдите к CN = Конфигурация | CN = Услуги | CN = Службы открытых ключей | CN = Службы регистрации
- Щелкните правой кнопкой мыши атрибут и выберите свойства
- Выберите флаги - если это 2 затем обновите его до 10
- Репликация между контроллерами домена (используйте сайты Active Directory для ручной репликации)
- Перезапустите центр сертификации (щелкните правой кнопкой мыши - Задачи - Стоп - Начало)