企業 CA 證書請求錯誤
我最近設置了一個新的 Windows 2012 R2 Enterprise SHA2 頒發 CA 來替換舊的 Windows 2008 R2 SHA1 頒發 CA。這也安裝了 Web 註冊,供公眾訪問,因此所有 DNS 記錄都可以通過 Web 與受信任的證書聯繫。除了測試申請證書的最後階段之外,一切似乎都很順利。送出申請表後,會顯示以下錯誤:
請求模式:newreq - 新請求
處置:(從未設置)
處置消息:(無)
結果:帳戶名稱和安全 ID 之間沒有映射。0x80070534 (WIN32: 1332 ERROR_NONE_MAPPED)
COM 錯誤資訊:CCertRequest::Submit:帳戶名稱和安全 ID 之間沒有映射。0x80070534 (WIN32: 1332 ERROR_NONE_MAPPED)
LastStatus:帳戶名稱和安全 ID 之間沒有映射。0x80070534 (WIN32: 1332 ERROR_NONE_MAPPED)
建議的原因:沒有建議。
最後一部分是我最喜歡和最有幫助的……!
到目前為止調查此錯誤表明這是由於在 IIS 內的 certsrv 站點上啟用了匿名身份驗證,但這是一個面向公眾的 CA,並且不希望客戶端受到挑戰/提示輸入憑據,因為他們沒有任何首先使用。此外,以前的 SHA1 CA 只啟用了匿名身份驗證,並且沒有出現任何挑戰,所以看不出為什麼這個有任何不同。
有任何想法嗎?
this is a public facing CA and don't want clients to be challenged/prompted for credentials as they won't have any.我相信獨立 CA 會更合適。
企業證書頒發機構在證書註冊期間強制對使用者進行憑據檢查。每個證書模板在 Active Directory 中都有一個安全權限集,用於確定證書請求者是否有權接收他們所請求的證書類型。
通過向所有人授予權限,並設置 Windows 安全選項“網路訪問:讓所有人權限適用於匿名使用者”,或許可以將方釘放在圓孔中,但那將是非正統的。