Windows

證書中的主題欄位不正確

  • January 15, 2020

certreq -new我使用certreq 命令實用程序certreq -submit

出於某種原因,“正常”選項卡下的“頒發給”欄位和“詳細資訊”選項卡下的“主題”欄位具有我的域使用者名,而不是機器 FQDN(在 .inf 的主題行中指定)。

我這樣做是為了用我們的 CA 簽名的證書替換機器上的自簽名 RDP 證書。我知道這可以使用 GPO 並通過創建 RDP 模板來完成,但出於​​測試目的,我需要確保它首先在此伺服器上執行並使用這些命令。

伺服器作業系統是 Windows Server 2016 Standard。我正在從提升的 PowerShell 控制台執行命令。

下面是我引用的 .inf 文件以及我正在使用的命令。我很感激對此的任何見解!

請求.inf:

[Version] Signature="$Windows NT$"
[NewRequest]
Subject = "C=US, ST=Florida, L=Orlando, O=Disney World, CN=RDPSSL-TEST.Disney.com"
KeySpec = 1
KeyLength = 2048
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE 
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12 
RequestType = PKCS10
KeyUsage = "CERT_DIGITAL_SIGNATURE_KEY_USAGE | CERT_KEY_ENCIPHERMENT_KEY_USAGE" 
HashAlgorithm = SHA256
[EnhancedKeyUsageExtension]
OID=1.3.6.1.4.1.311.54.1.2 ; this is for Remote Desktop Authentication
[RequestAttributes]
CertificateTemplate= DisneyRemoteDesktop

命令:

certreq -new request.inf cert.req
certreq -submit cert.req certnew.cer certnew.pfx

這是因為您的模板配置為從 Active Directory 建構主題。由於您是手動向 CA 送出請求,因此您在 CSR 送出期間在 CA 上進行了身份驗證,CA 將從您的使用者帳戶中查找主題資訊。您需要更改證書模板屬性中的主題來源。對於生產,您必須將主題源切換回 AD 源。

引用自:https://serverfault.com/questions/999091