我最近设置了一个新的Windows 2012 R2企业SHA2颁发CA来replace旧的Windows 2008 R2 SHA1颁发CA. 这也有公众访问安装了networking注册,所有的DNSlogging,以及通过networking与信任的证书进行联系。 除了testing申请证书的最后阶段以外,其他所有方面似乎都进展顺利。 提交请求表单后,显示以下错误:
请求模式:newreq – 新请求
性格:(从未设置)
处理信息:(无)
- VPNGate连接 – OpenVPN证书错误
- 允许内部CA签署CSR
- 带有SSL和客户端证书的Apache httpd后面的Tomcat
- 新的SSL证书在Web应用程序上导致无法通过POST连接到网站
- 使用Comodo Positive SSL和IIS在Chrome Android上找不到任何证书
结果:帐户名称和安全ID之间没有映射。 0x80070534(WIN32:1332 ERROR_NONE_MAPPED)
COM错误信息:CCertRequest ::提交:帐户名称和安全ID之间没有映射完成。 0x80070534(WIN32:1332 ERROR_NONE_MAPPED)
LastStatus:帐户名称和安全ID之间没有映射完成。 0x80070534(WIN32:1332 ERROR_NONE_MAPPED)
build议的原因:没有build议。
最后一节是我最喜欢和最有帮助的….
调查此错误到目前为止表明,这是由于在IIS内的certsrv网站上启用了匿名身份validation,但这是一个面向公众的CA,不希望客户端被挑战/提示input凭据,因为他们不会有任何首先使用。 此外,以前的SHA1 CA只启用了匿名身份validation,并没有出现任何挑战,所以看不出为什么这个有什么不同。
有任何想法吗?
this is a public facing CA and don't want clients to be challenged/prompted for credentials as they won't have any 。
我相信一个独立的CA会更合适。
企业证书颁发机构在证书注册期间对用户执行证书检查。 每个证书模板都在Active Directory中设置了一个安全权限,用于确定证书请求者是否有权接收他们请求的证书types。
通过向Everyone授予权限,并设置Windows安全选项“networking访问:让每个人的权限适用于匿名用户”,可以将方块钉放到圆孔中,但这是非正统的。