Назад | Перейти на главную страницу

Запрос нового сертификата дочернего домена - разрешения шаблона сертификата не позволяют текущему пользователю регистрировать 0x80094012

У меня следующая конфигурация AD:

rootca (автономный без подключения к домену)

Я могу зарегистрировать сертификаты веб-сервера в порядке для svr1.mydom.local, однако я вхожу в svr1.other.mydom.local с администратором дочернего домена и получаю следующую ошибку:

Permissions on the certificate template do not allow the current user to enroll for this type of certificate (0x80094012)

Я думаю, что это должно быть связано с разрешениями, однако я не уверен, как действовать дальше - как лучше всего разрешить администраторам дочернего домена запрашивать сертификаты у подчиненного ЦС, расположенного в родительском домене?

Мой файл inf находится ниже:

[NewRequest]
Subject="CN=svr1.other.mydom.local"
Exportable=TRUE
KeyLength=2048
KeySpec=1
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
OID=1.3.6.1.5.5.7.3.2 ; Client Authentication
[RequestAttributes]
CertificateTemplate = WebServer

и я запускаю следующие команды на svr1.other.mydom.local так как administrator@other.mydom.local ниже:

certreq -new c:\svr1.inf c:\svr1.req
certreq -submit c:\svr1.req c:\svr1.cer ; I get the error here

Является ли пользователь членом группы безопасности, имеющей разрешение на чтение и регистрацию в шаблоне сертификата? Это необходимо.

Администрирование шаблонов сертификатов
http://technet.microsoft.com/en-us/library/cc725621%28v=ws.10%29

Когда вы устанавливаете сертификаты в компьютерное хранилище и используете автоматическую регистрацию или запрашиваете сертификат вручную с помощью оснастки «Сертификаты», запрашивающий компьютер учетной записи необходимы разрешения на чтение и регистрацию в шаблоне сертификата.

Однако, когда вы используете Certreq.exe для запроса сертификатов, даже если они являются компьютерными сертификатами и используют MachineKeySet = True, запрашивающий пользователь требуются разрешения на чтение и регистрацию для шаблона сертификата. При использовании Certreq.exe разрешения компьютера не используются.