Windows-Server-2008-R2

無法從我的 ECA 向獨立電腦頒發電腦證書

  • January 30, 2012

所有 Windows 2K8R2 SP1 環境。

我的域中有一個有效的企業證書頒發機構。我想向外部獨立電腦頒發電腦證書(用於伺服器身份驗證)。因此,我將證書頒發機構 Web 註冊、證書註冊 Web 服務和證書註冊策略 Web 服務角色服務添加到我的 ECA。

現在在我的獨立機器上,我瀏覽到http://myCA/certsrv。我看到我只能申請“使用者證書”。據我所知,在高級證書請求中,仍然沒有請求電腦證書或任何可以滿足我需要的選項的選項。

因此,我在 ECA 上編輯 certrqtp.inc 文件,以便將 rgAvailReqTypes(1,5) 替換為 rgAvailReqTypes(2,5),並將其添加到文件末尾:

   rgAvailReqTypes(1,FIELD_TEMPLATE)="Computer"
   rgAvailReqTypes(1,FIELD_FRIENDLYNAME)="Computer"
   rgAvailReqTypes(1,FIELD_OID)="1.3.6.1.5.5.7.3.1"
   rgAvailReqTypes(1,FIELD_CSPLIST)=""

現在,當我瀏覽網站時,我看到了一個新的證書請求類型:電腦。但是,當我嘗試在我的獨立電腦上送出該請求時,我收到此錯誤:

Certificate Request Denied 
The disposition message is "Denied by Policy Module 0x80094800, The request was for
a certificate template that is not supported by the Active Directory Certificate
Services policy: 1.3.6.1.5.5.7.3.1(Server Authentication). ".

如何從我的 ECA 向外部獨立電腦頒發電腦證書?

如果有幫助,我將嘗試在獨立電腦上使用證書,以便在使用 SSL 的電腦上執行 WinRM 偵聽器。

**編輯:**我所做的是向 CA 請求“Web 伺服器”證書,該證書已被授予。它已自動安裝到我的使用者帳戶儲存中。從那裡,我在我的獨立機器上導出了證書,然後將它導入到我的本地電腦 -> 個人儲存中。現在我有一個以我的獨立電腦的 HOSTNAME 命名的證書,在 Subject 屬性中,它顯示 CN = HOSTNAME,並且出於“預期目的”,它顯示為“伺服器身份驗證”。

但是,現在我明白了: 在此處輸入圖像描述

即使我在本地電腦個人商店中有一個似乎滿足所有這些要求的證書。:(

好吧,我已經回答了我自己的問題。證書必須包含可導出的私鑰,並且必須駐留在本地電腦儲存中。為此,我必須將 Web 伺服器模板複製為允許導出私鑰的新模板。它還必須是“Server 2003”兼容模板而不是 Server 2008 模板,否則它不會顯示在您的 Certsrv 網頁上。您的 CA 上的 Certsrv 網頁將在您的目前使用者 > 個人儲存中安裝證書,但它不會在那里工作。您必須將其導出(使用私鑰),然後將其導入本地電腦 > 個人儲存。(不只是點擊並拖動,這也不起作用。)

然後,只有那時,我終於能夠執行

C:\Users\Administrator>winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="SERVER1";CertificateThumbprint="1d9256aea461788764cec1904463120f084292f8"}

沒有錯誤。

我以前見過這個,我試圖記住它是什麼。您是否已確認您有權註冊證書?右鍵點擊證書模板並選擇管理。找到電腦證書並轉到權限選項卡。您必須添加每個人的註冊權限,但正因為如此,您需要確保 CA 經理在“頒發要求”選項卡下獲得批准。

引用自:https://serverfault.com/questions/353697