Active-Directory

子域新證書請求 - 證書模板權限不允許目前使用者註冊 0x80094012

  • July 21, 2012

我有以下 AD 配置:

rootca(獨立未連接域)

  • mydom.local

    • dc1.mydom.local

    • svr1.mydom.local

    • subca.mydom.local(企業從屬 CA)

    • 其他.mydom.local

      • dc1.other.mydom.local
      • svr1.other.mydom.local

我可以為 svr1.mydom.local 註冊網路伺服器證書 OK,但是我使用子域管理員登錄到 svr1.other.mydom.local 並收到以下錯誤:

Permissions on the certificate template do not allow the current user to enroll for this type of certificate (0x80094012)

我認為這必須與權限有關,但是我不確定如何繼續 - 允許子域管理員從位於父域中的從屬 CA 請求證書的最佳做法是什麼?

我的inf文件如下:

[NewRequest]
Subject="CN=svr1.other.mydom.local"
Exportable=TRUE
KeyLength=2048
KeySpec=1
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
OID=1.3.6.1.5.5.7.3.2 ; Client Authentication
[RequestAttributes]
CertificateTemplate = WebServer

我正在執行以下命令,svr1.other.mydom.local如下administrator@other.mydom.local所示:

certreq -new c:\svr1.inf c:\svr1.req
certreq -submit c:\svr1.req c:\svr1.cer ; I get the error here

使用者是否是對證書模板具有讀取和註冊權限的安全組的成員?這是必需的。

管理證書模板

http://technet.microsoft.com/en-us/library/cc725621%28v=ws.10%29

當您將證書安裝到電腦儲存中並使用自動註冊或使用證書管理單元手動請求證書時,請求的電腦帳戶需要對證書模板具有讀取和註冊權限。

但是,當您使用 Certreq.exe 請求證書時,即使它們是電腦證書並使用 MachineKeySet = True,請求使用者也需要對證書模板具有讀取和註冊權限。當您使用 Certreq.exe 時,不使用電腦權限。

引用自:https://serverfault.com/questions/409241

相關問答

Active-Directory

RDP 和 GPO 設置伺服器身份驗證證書模板(Microsoft Windows Server 2016)

  • April 1, 2021
檢視問答
Active-Directory

ADCS PKI - 交叉認證或橋接 CA?

  • July 11, 2017
檢視問答
Windows-Server-2008-R2

如何從受信任域中的證書頒發機構自動註冊證書?

  • October 11, 2012
檢視問答
Windows-Server-2008

在 MS Windows 2008 中找不到特定組

  • December 19, 2011
檢視問答
Active-Directory

PKI 在域控制器上頒發 CA

  • December 19, 2011
檢視問答
Windows

更改 Windows 從屬 CA 的 OU

  • August 23, 2022
檢視問答