Назад | Перейти на главную страницу

Невозможно отправить запрос сертификата в ЦС 2k8R2

Я создал двухуровневый центр сертификации с использованием Windows Server 2008 R2. В .inf Файлы, используемые для создания этого автономного корневого каталога и дочернего предприятия предприятия, находятся в конце этой публикации.

Корень установлен нормально и выдал сертификат SubCA. SubCA, в свою очередь, автоматически выдал сертификаты контроллерам домена.

Состояние моего PKI отмечено зеленым цветом, все цепочки действительны и списки отзыва сертификатов опубликованы.

Однако, когда я пытаюсь зарегистрировать сертификат SAN для своего сервера Exchange, запрос не принимается. На самом деле сообщения об ошибке вообще нет. Я слежу за (http://exchangeserverpro.com/how-to-issue-a-san-certificate-to-exchange-server-2010-from-a-private-certificate-authority) [«Как выдать сертификат SAN для Exchange 2010 из частного центра сертификации], и вкратце:

  1. Из командной консоли Exchange: New-ExchangeCertificate -FriendlyName "Exchange 2010 Certificate" -IncludeServerFQDN -DomainName mail.mydomain.net,autodiscover.mydomain.net,webmail.mydomain.net -GenerateRequest -PrivateKeyExportable $true

  2. Я захожу в службу веб-сертификатов подчиненного ЦС http://subca/certsvc

  3. Запросить сертификат

  4. Отправить расширенный запрос на сертификат

  5. Отправьте запрос на сертификат с помощью файла CMC в кодировке base-64 или PKCS # 10.

  6. Вставьте запрос с шага 1 в поле сохраненного запроса

  7. Выберите тип сертификата Веб-сервер

  8. Нажмите "Отправить"

  9. Ничего ... страница обновляется, чтобы снова показать ту же страницу. Ни на странице, ни в каком-либо журнале нет ошибки, и запрос не отправлен.

Я попытался отправить файл cer в подчиненный CA также через certsrv MMC, я щелкнул правой кнопкой мыши CA -> Все задачи -> Отправить новый запрос -> выберите файл cer и нажмите ОК. Ничего не происходит, нет ошибок, нет ожидающих запросов, в журналах ничего нет, ничего.

; CAPolicy.inf example file for the Root CA
 [Version]
 Signature= "$Windows NT$"

RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20

CRLPeriod = Years
CRLPeriodUnits = 1
CRLDeltaPeriod = Days
CRLDeltaPeriodUnits = 0

AlternateSignatureAlgorithm=1

[CRLDistributionPoint]
Empty=true

[AuthorityInformationAccess]
 Empty=true


; CApolicy.inf file for the Issuing CA
[Version]
Signature= "$Windows NT$"
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=10
CRLPeriod=Weeks
CRLPeriodUnits=1
CRLDeltaPeriod=Days
CRLDeltaPeriodUnits=1
CRLOverlapPeriod=Days
CRLOverlapUnits=2
ValidityPeriod=Years
ValidityPeriodUnits=2
AlternateSignatureAlgorithm=1

Я смог решить эту проблему после того, как нашел дополнительную информацию Вы не можете отправить запрос сертификата, созданный консолью управления Exchange (EMC) или оболочкой управления Exchange (EMS), в службы сертификации Microsoft

Таким образом, это связано с тем, что запрос сертификата хранился в кодировке Unicode, а службы сертификатов Microsoft не поддерживают файлы с кодировкой Unicode.

Исправление состоит в том, чтобы открыть файл запроса в блокноте и сохранить как новый файл, на этот раз с кодировкой ANSI. После этого выполняется повторная отправка этого файла в кодировке ANSI в CA и выдается сертификат.