У меня следующая конфигурация AD:
rootca (автономный без подключения к домену)
Я могу зарегистрировать сертификаты веб-сервера в порядке для svr1.mydom.local, однако я вхожу в svr1.other.mydom.local с администратором дочернего домена и получаю следующую ошибку:
Permissions on the certificate template do not allow the current user to enroll for this type of certificate (0x80094012)
Я думаю, что это должно быть связано с разрешениями, однако я не уверен, как действовать дальше - как лучше всего разрешить администраторам дочернего домена запрашивать сертификаты у подчиненного ЦС, расположенного в родительском домене?
Мой файл inf находится ниже:
[NewRequest]
Subject="CN=svr1.other.mydom.local"
Exportable=TRUE
KeyLength=2048
KeySpec=1
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
OID=1.3.6.1.5.5.7.3.2 ; Client Authentication
[RequestAttributes]
CertificateTemplate = WebServer
и я запускаю следующие команды на svr1.other.mydom.local
так как administrator@other.mydom.local
ниже:
certreq -new c:\svr1.inf c:\svr1.req
certreq -submit c:\svr1.req c:\svr1.cer ; I get the error here
Является ли пользователь членом группы безопасности, имеющей разрешение на чтение и регистрацию в шаблоне сертификата? Это необходимо.
Администрирование шаблонов сертификатов
http://technet.microsoft.com/en-us/library/cc725621%28v=ws.10%29
Когда вы устанавливаете сертификаты в компьютерное хранилище и используете автоматическую регистрацию или запрашиваете сертификат вручную с помощью оснастки «Сертификаты», запрашивающий компьютер учетной записи необходимы разрешения на чтение и регистрацию в шаблоне сертификата.
Однако, когда вы используете Certreq.exe для запроса сертификатов, даже если они являются компьютерными сертификатами и используют MachineKeySet = True, запрашивающий пользователь требуются разрешения на чтение и регистрацию для шаблона сертификата. При использовании Certreq.exe разрешения компьютера не используются.