Я использую это на сервере 2016, домен - 2012r2, клиентские компьютеры - Win10 и Win7.
У меня есть двухуровневая инфраструктура PKI (автономный корень), которую я недавно настроил, и у меня не было проблем с большей частью конфигурации. Проблема, которая у меня сейчас возникает, связана с веб-службами CEP / CES.
Промежуточный ЦС сегментирован от большинства наших компьютеров, присоединенных к домену, поэтому я не могу использовать политику регистрации LDAP для регистрации (RPC-доступ к ЦС для большинства клиентов не будет разрешен). Имея это в виду, я создал 3-й сервер, на котором находится информация CRL / AIA, а также на котором размещены веб-службы CEP / CES (Kerberos, без обновления на основе ключей). Подключенные к домену машины могут без проблем добавлять и проверять сервер политики регистрации, но когда я пытаюсь запросить новый сертификат, список доступных шаблонов пуст. В диалоговом окне регистрации сертификатов отображается сообщение «Типы сертификатов недоступны».
Когда я использую политику регистрации на основе LDAP на тех подключенных к домену компьютерах, которые имеют доступ к промежуточному ЦС, я вижу все шаблоны, которые я настроил для ЦС, и могу без проблем отправлять запросы на регистрацию для любого из них.
Когда я настроил веб-службы CEP, мне пришлось изначально изменить идентификатор политики для веб-служб, как описано здесь, в разделе 3c (GUID конфликтует с существующим GUID, когда LDAP и CEP ...) чтобы клиенты могли правильно проверить сервер политики регистрации.
Я убедился, что все мои тестовые машины и тестовые пользователи имеют права чтения и регистрации для всех шаблонов, которые я ожидаю увидеть, я перезапустил как центр сертификации, так и сервер, на котором размещены веб-службы CEP / CES.
Любая помощь будет оценена.
Я наконец уступил и заплатил за инцидент поддержки с Microsoft. Они заставили меня удалить и переустановить веб-службы, и все заработало как чудо. Мы так и не нашли первопричину.