首先,我需要描述我的团队用于testing和开发的环境。 单个C类地址空间。 4 AD使用这个地址空间。 一个Bind9 DNS服务器充当所有AD区域的辅助。 AD之间没有信任。 我们的Developtment组在每个url上都需要FQDN。 我刚刚configuration了新的DC和CA,并添加了SCEP / NDES服务。 目前由SCEP / NDES发布的URL是主机名。 查看图片: NDES请求页面,没有FQDN 有没有办法改变这个网页上的生成url来包含FQDN?
我正在pipe理Windows 2008 ADCS CA,并意识到使用SAN颁发证书时存在安全风险。 所以我testing了在请求中发布一个带有SAN的PKCS10文件,并且在它应该被阻塞的时候它与SAN一起发布了证书。 可以肯定的是,我使用命令certutil -setreg policy \ EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2(注意减号)删除SAN标志,如果它存在,而不是。 图片 然而,这样做,阻止添加额外的请求属性使用类似这样的SAN: san:dns=webmail.domainc.com&dns=mail.domainc.com&dns=autodiscover.domainc.com 那么是否有办法完全阻止已颁发证书的SAN,而不pipe它们在哪里指定?
我有一个Windows Server 2003 SP2企业根证书颁发机构可操作的AD域,同时为用户和计算机启用证书自动注册; 一切顺利,每台join域的计算机都会自动获得一份计算机证书。 还有两个Windows Server 2003 SP2域控制器,而不是域控制器证书; 一切都很好,再次。 然后我得到一个Windows Server 2008 R2 SP1成员服务器,它已经自动注册了一个计算机证书,并将其提升到了域控制器。 升级后没有得到任何新东西,也没有任何错误logging在任何地方:它看起来像是简单地决定,已经有一个工作证书,它不需要一个新的。 我想知道的是: 计算机证书模板和域控制器之间有没有区别? 如果一个域控制器有一个前者而不是后者之一,它会有什么区别吗? 我如何强制这个域控制器自动注册一个正确types的新证书作为它的angular色? 编辑: 我试图撤销现有的证书,并重新启动新的区议会; 什么都没发生。 然后,我从DC的本地商店中删除了现有的证书,并重新启动它; 这次也没有发生。 编辑: 我打开自动注册日志logging,我发现实际上有一些错误…当新的DC试图注册证书,它logging了一堆错误: 事件ID 56:“模板DomainController本地系统的证书注册未执行,因为此templte已经被请求。 事件ID 46:“本地系统的证书注册无法注册机器证书,此模板不允许读取或注册访问”。 事件ID 47:“本地系统的证书注册无法注册DirectoryEmailReplication证书。有效的证书颁发机构不能发现此模板。 事件ID 47:“本地系统的证书注册无法注册DomainControllerAuthentication证书。有效的证书颁发机构不能发现此模板。 事件ID 47:“本地系统的证书注册无法注册KerberosAuthentication证书。有效的证书颁发机构不能发现此模板。
我有一个Windows 2003 AD,我build立了一个根CA和一个子CA,这两个都是Windows 2008(join域)。我需要使用子CA来生成用于数字签名的最终用户证书,它们应该能够生成从url(自我注册)。 如果我能做到这一点,有人可以build议吗? 一个。 没有模式更新广告? ad 2003到ad 2008 湾 或者让他们独立? 模板将以这种方式工作吗?
我试图安装企业CA在我的Windows Server 2003中,但我可以select只有独立的根CA和独立的从属CA. 其他两个选项不突出显示。 有谁能给我可能的原因吗? 在此先感谢(我对与证书有关的概念没有太多的理解。)
我已经创build了一个电源shell脚本来启动运行,但它不工作。 我从来没有通过组策略运行脚本,所以我不知道限制/最佳实践是什么。 我被告知我需要签署脚本。 经过一些阅读我想我需要: 如何创build证书 如何将证书颁发给我们Windows域中的每个客户端 签署证书 我已经find了关于创build代码签名的说明(下面的链接),但地址“ https:// server / certsrv ”不起作用,为什么? 我正在寻找具有证书权威的Windows 2008 SBS域控制器。 http://www.mikepfeiffer.net/2010/02/obtaining-a-code-signing-certificate-and-signing-powershell-scripts/
我已经在2008 R2上build立了一个Microsoft独立CA作为根CA. 我正在尝试设置从属企业CA. 我生成了证书请求,并将其提交给根CA. 然后,我运行以下命令将到期date设置为20年(请求标识为5): certutil -setattributes 5 "ValidityPeriod:Years\nValidityPeriodUnits:20" 然后,我批准了这个请求,但是失败了。 请求状态代码是: The specified time is invalid. 0x8007076d (WIN32: 1901) 请求处理消息是: Denied by Policy Module 0x8007076d, The requested validity period is invalid. Confirm that the validity period or expiration data and time specified in the request does not extend beyond the validity period of the CA […]
我正在将Active Directory证书服务angular色转移到新的2012服务器上。 新的服务器将发布新的证书,我需要find所有不是通过自动注册颁发的证书,所以我可以手动发布新的证书。 任何人都知道最好的方式与Powershell做到这一点? 我正在使用PSPKI模块。
我需要制定操作程序来审计和理解为什么特定请求被Active Directory证书服务(ADCS)策略模块拒绝。 我试图打开GUI中的所有日志logging(checkbox),并检查Eventlog。 我只看到一个事件日志条目每个失败的请求,但我没有一个明确的方式来确定是什么导致它失败。 下面是一个失败的例子: Active Directory证书服务拒绝了请求4,因为证书颁发机构的证书包含无效数据。 0x80094005(-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)。 请求是CN = Issue01a,CN = Bits.com,OU =对于电子邮件安全,O = Bits LLC,C = US。 其他信息:政策模块拒绝 上面的例子是一个sub-ca,故意有一个有效期会超出父CA的有效期。 我希望从上面的错误代码或其他位置得出这个原因。 我所做的:在谷歌search错误“2146877435”,导致这个非常后期被拉起。 前几页没有任何结果是错误代码和原因的列表。
我想获得未决AD CS请求的摘要报告。 我将如何处理这个? 有什么事情已经存在? 我试图解决的问题是用户请求证书的地方,我不知道这个未决/未完成的项目。