Windows-Server-2012-R2

CA Web 註冊 - 證書請求安裝 500 內部伺服器錯誤

  • April 6, 2017

企業 CA 證書請求錯誤之後,我在 Windows 2012 R2 上安裝了新的 SHA2 CA 以及 CA Web 註冊,現在我可以從外部瀏覽器請求證書並從 CA 控制台成功頒發這些證書,但是,當我返回檢查未決證書請求的狀態並嘗試安裝它時,它會重定向到http://CertificateAuthority/certsrv/certnew.cer?ReqID=CACert&Renewal=0&Mode=inst&Enc=b64顯示 HTTP 500 內部伺服器錯誤頁面.

我修改了 CertSrv 站點的 web.config 以將錯誤模式更改為“詳細”,但只是顯示上述頁面。在此站點的 W3SVC1 日誌中,我可以看到以下錯誤:

軟體:Microsoft Internet Information Services 8.5 版本:1.0 日期:2017-04-06 10:21:24 欄位:日期時間 s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c- ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken

2017-04-06 10:21:24 83.231.185.99 GET /certsrv/certnew.cer ReqID=CACert&Renewal=0&Mode=inst&Enc=b64|5|ASP_0126|Include_file_not_found 443 - 172.21.51.241 Mozilla/5.0+(Windows+NT+6.1 ;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko https://CertificateAuthority/certsrv/certfnsh.asp 500 0 0 234

2017-04-06 10:24:12 83.231.185.99 POST /certsrv/certfnsh.asp - 443 - 172.21.51.241 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+rv:11.0) +like+Gecko https://CertificateAuthority/certsrv/certckpn.asp 200 0 0 124

2017-04-06 10:24:17 83.231.185.99 GET /certsrv/certnew.cer ReqID=CACert&Renewal=0&Mode=inst&Enc=b64|5|ASP_0126|Include_file_not_found 443 - 172.21.51.241 Mozilla/5.0+(Windows+NT+6.1 ;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko https://CertificateAuthority/certsrv/certfnsh.asp 500 0 0 15

我想從中讀到找不到文件,但這是我需要幫助的地方。

當試圖打開 C:\Windows\System32\certsrv 中的 certnew.cer 文件時,我會看到以下消息:

無效的公鑰安全對象文件 - 此文件無效,不能用作以下用途:安全證書。

但是,我似乎也無法在沒有看到這個問題的現有工作舊 CA 上打開它,所以感覺這是預期的!?

從 CA 伺服器本身和其他內部伺服器上的瀏覽器點擊安裝連結可以很好地安裝此連結,因此僅從外觀上看似乎是一個外部問題。

有任何想法嗎?

在花了所有時間寫這個問題之後,我發現了這個問題….Doh!

出於某種原因,我不太記得但知道它是解決我看到的錯誤所必需的,我不得不將所有文件從 C:\Windows\System32\certsrv\en-US 移動到 C:\Windows\System32 \certsrv 但這樣做必須修改所有 .asp 文件以指向 certdat.inc 而不是 ..\certdat.inc ,原因很明顯。我沒有意識到這個目錄中的 cer、p7b 和 crl 文件實際上並不是證書文件,實際上也可以編輯包含與上面相同的 ..\certdat.inc 路徑。一旦我將其更改為 certdat.inc,我就能夠從網站安裝證書。

我可以在內部成功安裝它的事實讓我有點擔心考慮到這個問題,無論電腦位置(內部/外部)如何都能做到這一點,但顯然情況並非如此。

…..一直在學習。

引用自:https://serverfault.com/questions/842981