Я создал двухуровневый центр сертификации с использованием Windows Server 2008 R2. В .inf
Файлы, используемые для создания этого автономного корневого каталога и дочернего предприятия предприятия, находятся в конце этой публикации.
Корень установлен нормально и выдал сертификат SubCA. SubCA, в свою очередь, автоматически выдал сертификаты контроллерам домена.
Состояние моего PKI отмечено зеленым цветом, все цепочки действительны и списки отзыва сертификатов опубликованы.
Однако, когда я пытаюсь зарегистрировать сертификат SAN для своего сервера Exchange, запрос не принимается. На самом деле сообщения об ошибке вообще нет. Я слежу за (http://exchangeserverpro.com/how-to-issue-a-san-certificate-to-exchange-server-2010-from-a-private-certificate-authority) [«Как выдать сертификат SAN для Exchange 2010 из частного центра сертификации], и вкратце:
Из командной консоли Exchange: New-ExchangeCertificate -FriendlyName "Exchange 2010 Certificate" -IncludeServerFQDN -DomainName mail.mydomain.net,autodiscover.mydomain.net,webmail.mydomain.net -GenerateRequest -PrivateKeyExportable $true
Я захожу в службу веб-сертификатов подчиненного ЦС http://subca/certsvc
Запросить сертификат
Отправить расширенный запрос на сертификат
Отправьте запрос на сертификат с помощью файла CMC в кодировке base-64 или PKCS # 10.
Вставьте запрос с шага 1 в поле сохраненного запроса
Выберите тип сертификата Веб-сервер
Нажмите "Отправить"
Ничего ... страница обновляется, чтобы снова показать ту же страницу. Ни на странице, ни в каком-либо журнале нет ошибки, и запрос не отправлен.
Я попытался отправить файл cer в подчиненный CA также через certsrv MMC, я щелкнул правой кнопкой мыши CA -> Все задачи -> Отправить новый запрос -> выберите файл cer и нажмите ОК. Ничего не происходит, нет ошибок, нет ожидающих запросов, в журналах ничего нет, ничего.
; CAPolicy.inf example file for the Root CA
[Version]
Signature= "$Windows NT$"
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20
CRLPeriod = Years
CRLPeriodUnits = 1
CRLDeltaPeriod = Days
CRLDeltaPeriodUnits = 0
AlternateSignatureAlgorithm=1
[CRLDistributionPoint]
Empty=true
[AuthorityInformationAccess]
Empty=true
; CApolicy.inf file for the Issuing CA
[Version]
Signature= "$Windows NT$"
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=10
CRLPeriod=Weeks
CRLPeriodUnits=1
CRLDeltaPeriod=Days
CRLDeltaPeriodUnits=1
CRLOverlapPeriod=Days
CRLOverlapUnits=2
ValidityPeriod=Years
ValidityPeriodUnits=2
AlternateSignatureAlgorithm=1
Я смог решить эту проблему после того, как нашел дополнительную информацию Вы не можете отправить запрос сертификата, созданный консолью управления Exchange (EMC) или оболочкой управления Exchange (EMS), в службы сертификации Microsoft
Таким образом, это связано с тем, что запрос сертификата хранился в кодировке Unicode, а службы сертификатов Microsoft не поддерживают файлы с кодировкой Unicode.
Исправление состоит в том, чтобы открыть файл запроса в блокноте и сохранить как новый файл, на этот раз с кодировкой ANSI. После этого выполняется повторная отправка этого файла в кодировке ANSI в CA и выдается сертификат.