Я настраиваю двухуровневую иерархию PKI служб сертификации Active Directory с автономным автономным корневым ЦС (Server 2019) и онлайн-подчиненным ЦС предприятия (также Server 2019).
Я успешно настроил автономный корневой центр сертификации (установил расширения CDP / AIA), и служба ADCS запускается без проблем. Затем я настраиваю ADCS в подчиненном ЦС предприятия, и внутри "C: \" создается файл .req. Скопировал файл .req в корневой ЦС, выпустил сертификат, экспортировал * .p7b и вернулся в подчиненный ЦС. Когда я выбираю «Установить сертификат ЦС», я получаю следующую ошибку:
"Обнаружена ошибка при настройке служб сертификации Active Directory. Мастер установки служб сертификации Active Directory необходимо будет перезапустить, чтобы завершить настройку. Новый сертификат центра сертификации не может быть установлен, потому что расширение версии CA неверно. Для получения нового сертификата следует использовать последний сгенерированный файл запроса: C: \ CA (1) .req Данные недействительны. 0x800x7000d (WIN32: 13 ERROR_INVALID_DATA)
Я вошел в Enterprise Sub CA как администратор домена с правами администратора предприятия, добавленными к моей учетной записи DA. Я попытался переустановить ADCS на Sub CA, создать новый .req и повторно подписать. Я на 100% уверен, что использую правильный файл .req при отправке в корневой ЦС, а также экспортирую правильный сертификат Суб ЦС.
Я запустил certutil -dump * .req для исходного файла запроса сертификата и убедился, что расширение версии CA - V0.0. Затем выполнила ту же команду для подписанного сертификата вспомогательного ЦС, экспортированного из корневого ЦС и имеющего такое же точное расширение версии ЦС.
Любые идеи очень приветствуются. Пожалуйста, дайте мне знать, будет ли вам полезна дополнительная информация.
Нашел ответ на свои проблемы. Не уверен, что это изолировано от нашего домена AD, но мне пришлось создать уникальную учетную запись с добавлением ТОЛЬКО корпоративной административной группы. Затем последовал тот же процесс и смог установить сертификат CA.
Подвести итоги:
Если у вас возникла такая же проблема, как указано выше, попробуйте создать одну учетную запись с правами администратора предприятия и используйте только эту учетную запись при установке / настройке ADCS в корпоративном суб-ЦС.