Windows-Server-2008-R2

企業 CA 證書請求錯誤

  • April 1, 2017

我最近設置了一個新的 Windows 2012 R2 Enterprise SHA2 頒發 CA 來替換舊的 Windows 2008 R2 SHA1 頒發 CA。這也安裝了 Web 註冊,供公眾訪問,因此所有 DNS 記錄都可以通過 Web 與受信任的證書聯繫。除了測試申請證書的最後階段之外,一切似乎都很順利。送出申請表後,會顯示以下錯誤:

請求模式:newreq - 新請求

處置:(從未設置)

處置消息:(無)

結果:帳戶名稱和安全 ID 之間沒有映射。0x80070534 (WIN32: 1332 ERROR_NONE_MAPPED)

COM 錯誤資訊:CCertRequest::Submit:帳戶名稱和安全 ID 之間沒有映射。0x80070534 (WIN32: 1332 ERROR_NONE_MAPPED)

LastStatus:帳戶名稱和安全 ID 之間沒有映射。0x80070534 (WIN32: 1332 ERROR_NONE_MAPPED)

建議的原因:沒有建議。

最後一部分是我最喜歡和最有幫助的……!

到目前為止調查此錯誤表明這是由於在 IIS 內的 certsrv 站點上啟用了匿名身份驗證,但這是一個面向公眾的 CA,並且不希望客戶端受到挑戰/提示輸入憑據,因為他們沒有任何首先使用。此外,以前的 SHA1 CA 只啟用了匿名身份驗證,並且沒有出現任何挑戰,所以看不出為什麼這個有任何不同。

有任何想法嗎?

this is a public facing CA and don't want clients to be challenged/prompted for credentials as they won't have any.

我相信獨立 CA 會更合適。

企業證書頒發機構在證書註冊期間強制對使用者進行憑據檢查。每個證書模板在 Active Directory 中都有一個安全權限集,用於確定證書請求者是否有權接收他們所請求的證書類型。

通過向所有人授予權限,並設置 Windows 安全選項“網路訪問:讓所有人權限適用於匿名使用者”,或許可以將方釘放在圓孔中,但那將是非正統的。

引用自:https://serverfault.com/questions/841837