无法从我的ECA发布计算机证书到独立计算机
所有Windows 2K8R2 SP1环境。
我在我的域中有一个工作的企业证书颁发机构。 我想颁发一个计算机证书(用于服务器身份validation的目的)到一个外部的,独立的机器。 所以我将证书颁发机构Web注册,证书注册Web服务和证书注册策略Web服务angular色服务添加到我的ECA。
现在在独立的机器上,我浏览到http:// myCA / certsrv 。 我看到我只能申请一个“用户证书”。 在高级证书申请中,根据我所知,仍然没有select要求计算机证书或任何能够给我所需要的东西的选项。
因此,我编辑我的ECA上的certrqtp.inc文件,以便将rgAvailReqTypes(1,5)replace为rgAvailReqTypes(2,5),并将其添加到文件末尾:
rgAvailReqTypes(1,FIELD_TEMPLATE)="Computer" rgAvailReqTypes(1,FIELD_FRIENDLYNAME)="Computer" rgAvailReqTypes(1,FIELD_OID)="1.3.6.1.5.5.7.3.1" rgAvailReqTypes(1,FIELD_CSPLIST)="" 现在,当我浏览网站时,我看到一个新的证书请求types:计算机。 但是,当我尝试在独立机器上提交该请求时,出现此错误:
Certificate Request Denied The disposition message is "Denied by Policy Module 0x80094800, The request was for a certificate template that is not supported by the Active Directory Certificate Services policy: 1.3.6.1.5.5.7.3.1(Server Authentication). ".
如何从我的ECA向外部独立计算机颁发计算机证书?
如果有帮助,我试图在独立的计算机上使用该证书,以便在使用SSL的计算机上运行WinRM侦听器。
编辑:我所做的是从CA获得一个“Web服务器”证书,该证书已被授予。 它被自动安装到我的用户帐户存储。 从那里,我在独立的机器上导出证书,然后将其导入到本地计算机 – >个人存储中。 现在我有一个以我的独立计算机的HOSTNAME命名的证书,在Subject属性中,它表示CN = HOSTNAME,对于“预期目的”,它表示“服务器身份validation”。
但是,现在我得到这个: 
即使我在我的本地计算机个人存储中有证书,似乎满足所有这些要求。 🙁
我以前见过这个,我试图记住它是什么。 您是否证实您有权注册证书? 右键单击证书模板并selectpipe理。 find计算机证书并转到权限选项卡。 您必须添加每个人的注册权限,但是因此您需要在“签发要求”选项卡下确保CA Manager的批准。
好吧,我已经回答了我自己的问题。 证书必须包含可导出的私钥,并且必须位于本地计算机存储区中。 为此,我不得不复制Web服务器模板作为允许导出私钥的新模板。 它也必须是“Server 2003”兼容模板,而不是Server 2008模板,否则它不会显示在您的Certsrv网页上。 您的CA上的Certsrv网页将在您当前用户>个人存储中安装证书,但不会在那里工作。 您必须将其导出(使用私钥),然后将其导入到本地计算机>个人存储中。 (不只是点击和拖动,也不会工作。)
然后,只有这样,我终于能够执行了
C:\Users\Administrator>winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="SERVER1";CertificateThumbprint="1d9256aea461788764cec1904463120f084292f8"}
没有错误。