Назад | Перейти на главную страницу

Не могу выдать компьютерный сертификат автономному компьютеру из моего ECA

Вся среда Windows 2K8R2 SP1.

В моем домене есть действующий центр сертификации предприятия. Я хочу выдать сертификат компьютера (для проверки подлинности сервера) на внешний автономный компьютер. Поэтому я добавляю в свой ECA службы роли веб-службы подачи заявок в центр сертификации, веб-службы регистрации сертификатов и политики регистрации сертификатов.

Теперь на моем автономном компьютере я просматриваю http: // myCA / certsrv. Я вижу, что могу запросить только «Сертификат пользователя». В расширенном запросе сертификата по-прежнему нет возможности запросить сертификат компьютера или что-либо, что даст мне то, что мне нужно, насколько я могу судить.

Поэтому я редактирую файл certrqtp.inc на моем ECA так, что заменяю rgAvailReqTypes (1,5) на rgAvailReqTypes (2,5), и добавляю это в конец файла:

    rgAvailReqTypes(1,FIELD_TEMPLATE)="Computer"
    rgAvailReqTypes(1,FIELD_FRIENDLYNAME)="Computer"
    rgAvailReqTypes(1,FIELD_OID)="1.3.6.1.5.5.7.3.1"
    rgAvailReqTypes(1,FIELD_CSPLIST)=""

Теперь, когда я просматриваю веб-сайт, я вижу новый тип запроса сертификата: Компьютер. Однако, когда я пытаюсь отправить этот запрос на своем автономном компьютере, я получаю следующую ошибку:

Certificate Request Denied 
The disposition message is "Denied by Policy Module 0x80094800, The request was for
a certificate template that is not supported by the Active Directory Certificate
Services policy: 1.3.6.1.5.5.7.3.1(Server Authentication). ".

Как я могу выдать сертификат компьютера из моего ECA на внешний автономный компьютер?

Если это помогает, я пытаюсь использовать сертификат на автономном компьютере для запуска прослушивателя WinRM на этом компьютере, который использует SSL.

редактировать: Что я сделал, так это запросил сертификат «веб-сервера» от CA, который был предоставлен. Он был автоматически установлен в хранилище моей учетной записи. Оттуда я экспортировал сертификат на свой автономный компьютер, а затем импортировал его на свой Локальный компьютер -> Личное хранилище. Теперь у меня есть сертификат, названный в честь моего HOSTNAME моего автономного компьютера, в свойстве Subject он говорит CN = HOSTNAME, а для «предполагаемых целей» - «Server Authentication».

Однако теперь я получаю следующее:

Несмотря на то, что у меня есть сертификат в личном магазине моего локального компьютера, который, кажется, соответствует всем этим требованиям. :(

Хорошо, я ответил на свой вопрос. Сертификат должен включать экспортируемые закрытые ключи, и он должен находиться в хранилище локального компьютера. Для этого мне пришлось продублировать шаблон веб-сервера как новый шаблон, который позволял экспортировать закрытый ключ. Он также должен быть шаблоном, совместимым с «Server 2003», а не шаблоном Server 2008, иначе он не будет отображаться на вашей веб-странице Certsrv. Веб-страница Certsrv в вашем ЦС установит сертификат в ваш Текущий пользователь> Личный магазин, но он не будет работать там. Вы должны экспортировать его (с закрытым ключом), а затем импортировать в локальный компьютер> Личное хранилище. (Не просто щелкнуть и перетащить, это тоже не сработает.)

Тогда и только тогда я Ну наконец то в состоянии выполнить 

C:\Users\Administrator>winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="SERVER1";CertificateThumbprint="1d9256aea461788764cec1904463120f084292f8"}

Без ошибок.

Я видел это раньше и пытаюсь вспомнить, что это было. Вы подтвердили, что у вас есть разрешение на регистрацию сертификата? Щелкните правой кнопкой мыши шаблоны сертификатов и выберите «Управление». Найдите сертификат компьютера и перейдите на вкладку разрешений. Вам нужно будет добавить разрешение на регистрацию для всех, но из-за этого вы захотите обеспечить утверждение CA Manager на вкладке «Требования к выдаче».