Назад | Перейти на главную страницу

Выдать сертификат на IP-адрес в AD CS

Мы пытаемся заставить Sophos XG 210 подключиться через LDAPS к серверу доменных служб Active Directory (AD DS) / контроллера домена (DC), но это не удается из-за следующих двух ошибок:

Устройство - ошибка подключения к серверу AD

Не удалось подключиться к серверу AD% privateIPAddress% из-за ошибки имя хоста не соответствует CN в одноранговом сертификате

Я связался с Sophos и их старшей технической поддержкой:

  1. Проверка конфигурации сертификата (сертификат корневого CA AD CS, установленный на Sophos XG 210, и сертификат сервера DC, установленный на самом себе).
  2. Сообщается, что SFOS 16 (не SFOS 15) может подключаться к серверу постоянного тока только через IP-адрес, поэтому нам придется использовать сертификат на основе IP-адреса, а не стандартный сертификат на основе имени.
  3. Сообщается, что возможность SFOS 16 подключаться к серверу постоянного тока через имя рассматривается их командой разработчиков как запрос функции и, следовательно, не имеет ETA.

Как заставить AD CS выдавать сертификат на IP-адрес?

 

Обновление 2017/08/23 17:58:

У меня есть:

  1. Читать:
    1а. Статья поддержки Microsoft Как добавить альтернативное имя субъекта в защищенный сертификат LDAP
    1b. Статья Microsoft TechNet Как запросить сертификат с произвольным альтернативным именем субъекта
    1c. Блог Microsoft Как запросить сертификат без использования IIS или Exchange
  2. Созданный файл RequestPolicy.inf со следующим содержанием:

[Версия]
Подпись = "$ Windows NT $"

[Новый запрос]
Subject = "CN =% DC_Server_FQDN%"

Экспортируемый = FALSE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = "Поставщик криптографии Microsoft RSA SChannel"

RequestType = PKCS10

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1

[Расширения]
2.5.29.17 = "{текст}"
_continue_ = "ipaddress =% DC_Server_IP_Address% &"

[RequestAttributes]
CertificateTemplate = WebServer

  1. Выполненные повышенные команды:
    3а. certreq -new "%Path%\RequestPolicy.inf" "%Path%\certnew.req"
    3b. certreq -submit "%Path%\certnew.req" "%Path%\certnew.cer"
    3c. certreq -retrieve %Request_ID% "%Path%\certnew.cer"
    3d. certreq -accept "%Path%\certnew.cer"
  2. Обнаружено, что сертификат, выданный CA AD CS, был установлен и:
    4а. Его поле Subject Alternative Name включены IP Address=%DC_Server_IP_Address%
    4b. Его поле Certificate Template Name был WebServer но я думаю, это должно быть DomainController
  3. Перенастроенный файл RequestPolicy.inf замена строки CertificateTemplate = WebServer с линией CertificateTemplate = DomainController
  4. Выполнено новое повышенное certreq команды, которые завершились ошибкой со следующей ошибкой:

Политика регистрации в Active Directory
{% GUID%}
ldap:
RequestId:% Request_ID%
RequestId: "% Request_ID%"
Сертификат не выдан (отклонен) Отклонен модулем политики DNS-имя недоступно и не может быть добавлено к альтернативному имени субъекта. 0x8009480f (-2146875377) Обработчик запроса сертификата: DNS-имя недоступно и не может быть добавлено к альтернативному имени субъекта. 0x8009480f (-2146875377)
Отклонено модулем политики

  1. Используемый центр сертификации для перенастройки шаблона сертификата Domain Controller Authentication изменение Subject Name из Build from this Active Directory information к Supply in the request.

Мне не удалось избавиться от ошибок, связанных с шаблоном контроллера домена.

 

Обновление 2017/08/25 09:10:

У меня есть:

  1. На сервере AD CS дублированный шаблон Domain Controller как шаблон Domain Controller 2 с участием Subject Name изменено с Build from this Active Directory information к Supply in the request.
  2. На сервере DC выполнено новое повышенное certreq команды, которые завершились ошибкой со следующими ошибками:

Шаблон не найден. Вы все равно хотите продолжить?
DomainController2

Сертификат не выдан (отклонен). Отказано модулем политики 0x80094800. Запрос был для шаблона сертификата, который не поддерживается политикой служб сертификатов Active Directory: DomainController2 / DomainController2.

Запрошенный шаблон сертификата не поддерживается этим ЦС. 0x80094800 (-21 46875392)

Процессор запроса сертификата: запрошенный шаблон сертификата не поддерживается этим ЦС. 0x80094800 (-2146875392)

Отказано модулем политики 0x80094800. Запрос был для шаблона сертификата, который не поддерживается политикой служб сертификации Active Directory: Domai nController2 / DomainController2.

  1. На сервере AD CS проверено, что шаблон Domain Controller 2Включены списки ACL, позволяющие читать для прошедших проверку пользователей.

 

Обновление 2017/12/04:

Прошивка Sophos XG 17.0+ поддерживает «функцию» подключения LDAPS через DNS, а не через IP-адрес, поэтому мне больше не нужно этого делать, но я собираюсь оставить этот вопрос открытым, поскольку он остается открытым.