Недавно я установил новый центр сертификации Windows 2012 R2 Enterprise SHA2, который должен заменить старый центр сертификации Windows 2008 R2 с SHA1. Здесь также установлена веб-регистрация, доступная для общественности, поэтому все записи DNS на месте для связи с этим через Интернет вместе с доверенными сертификатами. Похоже, что все прошло хорошо, за исключением финального этапа запроса сертификата. При отправке формы запроса отображается следующая ошибка:
Режим запроса: newreq - новый запрос
Диспозиция: (никогда не устанавливалась)
Сообщение о решении: (нет)
Результат: не было выполнено сопоставление имен учетных записей и идентификаторов безопасности. 0x80070534 (WIN32: 1332 ERROR_NONE_MAPPED)
Информация об ошибке COM: CCertRequest :: Submit: не было выполнено сопоставление между именами учетных записей и идентификаторами безопасности. 0x80070534 (WIN32: 1332 ERROR_NONE_MAPPED)
LastStatus: не было выполнено сопоставление между именами учетных записей и идентификаторами безопасности. 0x80070534 (WIN32: 1332 ERROR_NONE_MAPPED)
Предлагаемая причина: нет предложений.
Последний раздел - мой любимый и самый полезный ....!
Изучение этой ошибки на данный момент показало, что это связано с включенной анонимной аутентификацией на сайте certsrv в IIS, но это общедоступный центр сертификации, и он не хочет, чтобы у клиентов запрашивались / запрашивались учетные данные, поскольку им не нужно их использовать в первую очередь. Кроме того, в предыдущем ЦС SHA1 была включена только анонимная проверка подлинности и не было никаких проблем, поэтому не могу понять, почему этот другой.
Любые идеи?
this is a public facing CA and don't want clients to be challenged/prompted for credentials as they won't have any.
Я считаю, что автономный центр сертификации был бы более подходящим.
Центр сертификации предприятия принудительно проверяет учетные данные пользователей во время подачи заявки на сертификат. Каждый шаблон сертификата имеет разрешение безопасности, установленное в Active Directory, которое определяет, авторизован ли запрашивающий сертификат для получения запрошенного типа сертификата.
Можно вставить квадратный стержень в круглое отверстие, предоставив разрешение «Все» и установив параметр безопасности Windows «Сетевой доступ: разрешить всем разрешениям применяться к анонимным пользователям», но это было бы неортодоксально.