Windows-Server-2003

SSL 證書請求 s2003 DC CA DNS 名稱不可用

  • July 14, 2015

我正在嘗試在域控制器上送出 SSL 證書請求以啟用 LDAP SSL,並且沒有任何問題。

我正在關注http://support.microsoft.com/default.aspx?scid=kb;en-us;321051http://adldap.sourceforge.net/wiki/doku.php?id=ldap_over_ssl提供的資訊

到目前為止採取的步驟:

  1. 使用以下資訊創建 Servername.inf

;—————– request.inf —————–

$$ Version $$ 簽名=" $ Windows NT $

$$ NewRequest $$ 主題 = “CN=servername.domain.loc” ; 替換為 DC KeySpec = 1 KeyLength = 1024 的 FQDN;可以是 1024、2048、4096、8192 或 16384。較大的密鑰尺寸更安全,但有 ; 對性能的影響更大。Exportable = TRUE MachineKeySet = TRUE SMIME = False PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE ProviderName = “Microsoft RSA SChannel Cryptographic Provider” ProviderType = 12 RequestType = PKCS10 KeyUsage = 0xa0

$$ EnhancedKeyUsageExtension $$ OID=1.3.6.1.5.5.7.3.1;這是用於伺服器身份驗證

;———————————————– 2. 通過執行創建證書請求:certreq -new Servername.inf Servername.req 3. 嘗試通過執行向 CA 送出證書請求:certreq -submit -attrib “CertificateTemplate: DomainController” request.req 4. 此時我收到以下錯誤:DNS 名稱不可用,無法添加到主題備用名稱。0x8009480f (-2146875377)

到目前為止我採取的故障排除步驟 1. 修改域控制器模板以在請求重新啟動證書服務中提供主題名稱,在請求中包括 SAN,同樣的錯誤。2.重新安裝證書服務/ IIS / 無數次重啟機器

任何解決問題的幫助將不勝感激。

在 Active Directory 中檢查 servername.domain.loc 的條目。查看其屬性,檢查其 DNS 名稱屬性。如果為空,請添加 DNS 名稱。

我在這裡找到了解決方案:http ://www.techpository.com/?page_id=1364 您需要編輯模板以使用請求提供的主題名稱,而不是從 AD 建構它。

以下是我遵循的相關步驟:

  1. 點擊開始->執行,然後鍵入命令 mmc
  2. 點擊 mmc 控制台中的 File,然後選擇 Add/Remove Snap-in…
  3. 點擊“添加/刪除快照”對話框中的“添加…”按鈕
  4. 選擇證書模板,點擊添加
  5. 關閉步驟 4) 中可用的獨立管理單元視窗中的視窗。
  6. 您將看到“證書模板”,點擊“確定”。
  7. 在“控制台根\證書模板”中找到“域控制器身份驗證”
  8. 點兩下“域控制器身份驗證”將其打開。
  9. 選擇“Subject Name”選項卡,然後選擇“Supply in the request”,點擊Apply

編輯模板後,您需要將其刪除並再次添加到 CA。

引用自:https://serverfault.com/questions/136888