服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在AD CS中将证书颁发给IP地址
Intereting Posts
如何在ldap中处理多域用户 初学者什么是星号代表本地地址 采用pid并recursion地输出命令名和networking连接的脚本 Exchange 2010发送未经身份validation的客户端 OpsCenter – DSE Cassandra – 无法达到LOCAL_ONE的一致性级别 SQL 2008 SA密码随风飘舞 如何在Windows计算机上分割一个大的.tar.gz以在Linux服务器上进行上传? 用自定义网站和wordpress重写问题 为什么写一个文件到一个NFS共享发送一个COMMIT操作到NFS服务器? Ansible坚持收集事实 不正常的DHCP Android设备stream量无法识别 如何在JBoss上configurationJAAS? “apt-get source”找不到软件包,但是“apt-get install”和“apt-get cache”可以find它 如果你的网站是纯粹的SSL,你如何防止特定的载体? 在哪里我可以findModSecurity规则的具体应用

在AD CS中将证书颁发给IP地址

我们试图让Sophos XG 210通过LDAPS连接到Active Directory域服务(AD DS)/域控制器(DC)服务器,但是这样做会失败,出现以下两个错误:

设备 – AD服务器连接testing失败

连接到AD服务器%privateIPAddress%失败,错误主机名与对等证书中的CN不匹配

我联系了Sophos和他们的高级技术支持:

  1. validation证书configuration(安装在Sophos XG 210上的AD CS根CA证书和安装在其自身上的DC服务器证书)。
  2. build议SFOS 16(不是SFOS 15)只能通过IP地址连接到DC服务器,所以我们必须使用基于IP地址的证书,而不是标准的基于名称的证书。
  3. build议SFOS 16通过名称连接到DC服务器的能力被他们的开发团队视为function请求,因此没有ETA。

我们如何让AD CS向IP地址颁发证书?

更新2017/08/23 17:58:

我有:

  1. 读:
    1A。 Microsoft的支持文章如何将主题替代名称添加到安全LDAP证书
    1B。 微软TechNet文章如何使用自定义主题备用名称申请证书
    1C。 微软博客如何申请证书而不使用IIS或Exchange
  2. 创build具有以下内容的文件RequestPolicy.inf

[版]
Signature =“$ Windows NT $”

[NewRequest]
Subject =“CN =%DC_Server_FQDN%”

可导出= FALSE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName =“Microsoft RSA SChannelencryption提供程序”

RequestType = PKCS10

[EnhancedKeyUsageExtension]
OID = 1.3.6.1.5.5.7.3.1

[扩展]
2.5.29.17 =“{text}”
_continue_ =“ipaddress =%DC_Server_IP_Address%&”

[RequestAttributes]
CertificateTemplate = WebServer

  1. 执行提升的命令:
    3A。 certreq -new "%Path%\RequestPolicy.inf" "%Path%\certnew.req"
    3B。 certreq -submit "%Path%\certnew.req" "%Path%\certnew.cer"
    3C。 certreq -retrieve %Request_ID% "%Path%\certnew.cer"
    3D。 certreq -accept "%Path%\certnew.cer"
  2. 发现AD CS的CA颁发的证书已经安装,并且:
    4A。 其字段Subject Alternative Name包括IP Address=%DC_Server_IP_Address%
    4B。 它的字段Certificate Template NameWebServer但我认为它需要是DomainController
  3. 重新configuration文件RequestPolicy.inf将行CertificateTemplate = WebServerreplace为行CertificateTemplate = DomainController
  4. 执行新的提升的certreq命令失败,出现以下错误:

Active Directory注册策略
{%GUID%}
LDAP:
RequestId:%Request_ID%
RequestId:“%Request_ID%”
证书未颁发(拒绝)由策略模块拒绝DNS名称不可用,并且不能添加到主题备用名称中。 0x8009480f(-2146875377)证书请求处理器:DNS名称不可用,不能添加到主题备用名称。 0x8009480f(-2146875377)
政策模块否认

  1. 使用证书颁发机构重新configuration证书模板Domain Controller Authentication更改Subject NameBuild from this Active Directory informationSupply in the request

我一直无法通过与域控制器模板相关的错误。

更新2017/08/25 09:10:

我有:

  1. 在AD CS服务器上,作为模板“ Domain Controller 2的“ Subject Name模板“ Domain Controller 2复制到Supply in the request Build from this Active Directory information更改为“
  2. 在DC服务器上,执行新的提升的certreq命令失败,并显示以下错误:

模板未find。 你想继续吗?
DomainController2

证书未颁发(拒绝)由策略模块0x80094800拒绝,请求用于Active Directory证书服务策略不支持的证书模板:DomainController2 / DomainController2。

此CA不支持请求的证书模板。 0x80094800(-21 46875392)

证书请求处理器:此CA不支持请求的证书模板。 0x80094800(-2146875392)

由策略模块0x80094800拒绝,请求是针对Active Directory证书服务策略不支持的证书模板:Domai nController2 / DomainController2。

  1. 在AD CS服务器上,validation模板Domain Controller 2的ACL包含允许读取authentication用户。