我有以下ADconfiguration:
rootca(独立不连接域)
我可以注册web服务器证书确定为svr1.mydom.local,但是我login到svr1.other.mydom.local与子域pipe理员,我得到以下错误:
Permissions on the certificate template do not allow the current user to enroll for this type of certificate (0x80094012)
我认为这必须与权限相关,但是我不确定如何继续 – 允许子域pipe理员从位于父域的下级CA请求证书的最佳做法是什么?
我的inf文件如下:
[NewRequest] Subject="CN=svr1.other.mydom.local" Exportable=TRUE KeyLength=2048 KeySpec=1 MachineKeySet=TRUE [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 ; Server Authentication OID=1.3.6.1.5.5.7.3.2 ; Client Authentication [RequestAttributes] CertificateTemplate = WebServer
我在svr1.other.mydom.local上运行以下命令: [email protected]如下所示:
certreq -new c:\svr1.inf c:\svr1.req certreq -submit c:\svr1.req c:\svr1.cer ; I get the error here
用户是否具有证书模板上的读取和注册权限的安全组的成员? 这是必需的。
pipe理证书模板
http://technet.microsoft.com/en-us/library/cc725621%28v=ws.10%29
当您将证书安装到计算机存储区并使用自动注册或使用“证书”pipe理单元手动请求证书时,请求计算机帐户需要在证书模板上具有“读取”和“注册”权限。
但是,当您使用Certreq.exe请求证书时,即使它们是计算机证书并使用MachineKeySet = True,请求用户需要在证书模板上具有读取和注册权限。 当您使用Certreq.exe时,不使用计算机权限。