简而言之,我想要使用的证书模板不可用于注册。 有问题的模板是“RAS和IAS服务器”模板的副本。 令人沮丧的是,在testing过程中,我已经完成了这个工作,但是在生产过程中,证书是不可用的。 两者的唯一区别在于生产环境从2003年升级到2008年2季度的森林function水平。 升级前没有CA。 以下是我在两个设置中使用的一般步骤(使用pipe理员帐户完成): 安装AD CSangular色(在DC上) 复制RAS和IAS服务器模板。 重命名为“无线模板”将RAS和IAS服务器权限分配给“注册/自动注册”。 使用mmc在CA上启用“无线模板”,将证书注册到本地证书 这里是不一致的地方,在实验室服务器上,“无线模板”可用于注册。 生产服务器给我一个权限被拒绝的消息。 我会承认,我可能错过了一些步骤,试图在生产服务器上重现这一点。 两台服务器都是2008r2企业版,安装了DC和NPSangular色。
我安装了Active Directory证书服务并创build了一个独立的CA. 一切正常,它会自动在我所有的域工作站上安装CA证书和CRL。 在其中一个工作站上,我从“证书”pipe理单元中删除了CA证书和CRL的所有实例。 现在我不知道如何重新安装它们。 gpupdate不会这样做。 我不想手动做。 它必须是自动的,并且必须与原始安装相同,即CA证书必须出现在之前在“证书”pipe理单元中的所有文件夹中,并且还必须安装CRL。 类似于如果我将新工作站join到域中会发生什么情况。
我有一个AD域。 2003年FFL / DFL。 对于Server 2012,架构已升级到版本56.该域包含来自Server 2003,Server 2008,Server 2008 R2和现在Server 2012的域控制器的混合。 我有一个运行2008 R2的企业颁发证书颁发机构。 在Server 2012域控制器上,他们无法注册或自动注册其KerberosAuthentication证书。 应用程序日志中的错误事件ID 6和13: 本地系统的自动证书注册失败(0x800706ba)RPC服务器不可用。 本地系统的证书注册失败,从ECA.domain.com \ Company颁发CA(RPC服务器不可用。0x800706ba(WIN32:1722)),请求身份validation证书,请求ID为5512。 看到“RPC服务器不可用”本能地跳转到存在networking连接问题的结论。 但事实并非如此。 我已经使用portqry.exe来validation端点映射程序和所有高编号的端口确实可以从DC到ECA。 2012域控制器成功自动注册了两种其他types的证书。 这只是一个证书,这是问题。 我看到了ECA的要求,失败的原因与客户的失败原因相同。 所以显然是得到networking通信。 这个特殊的证书有一些东西。 没有其他域控制器有此证书的问题。 只有2012年的区议会。
我怎么能看到我的域控制器中的CRLcaching的内存中的OCSPcaching的大小? 换句话说,大多数使用CryptoAPI的Windows进程都有一个与该应用程序相关的每个CRL和OCSP的内存caching。 这很重要,因为客户端内存使用量和networkingIO请求数量之间存在巨大的性能折衷。 在我的情况下,CRL“客户端”是一个validationWCF证书authentication的服务器
我正在使用安装了Active Directory证书服务的Windows Server 2008 R2域控制器。 它被configuration为企业根CA. 我configuration了自定义证书模板,以便可以从CA生成扩展validationSSL证书。 在许多EV SSL证书中,在已颁发证书的“主题”字段中指定了以下OID: 2.5.4.15 =组织types 1.3.6.1.4.1.311.60.2.1.2 = STATE 1.3.6.1.4.1.311.60.2.1.3 = COUNTRY 例如: 2.5.4.15 =私人组织 1.3.6.1.4.1.311.60.2.1.2 =亚利桑那州 1.3.6.1.4.1.311.60.2.1.3 = US 我正在尝试查看是否已经有一个地方可以指定这些自定义OID及其在从CA通过Active Directory请求证书时要使用的值。 我查看了EV SSL Hotmail证书,其证书在其“主题”字段中包含以上OID: http://yffaz.org/imgs/hotmail.png 如果我使用MMC证书pipe理单元并select“本地计算机”并尝试使用提供的值使用我的自定义证书模板来请求证书,那么我只能看到以下项目,并且没有可以指定OID的地方: http://yffaz.org/imgs/adcs-request.png 有没有人有一个想法,我可能会做到这一点?
到目前为止,我清楚:如果代码签名证书本身到期,签名代码将被validation/接受,如果它是用时间戳签名的话。 如果不是,那么签名的代码也会过期。 但是,如果我的CA本身到期(根CA如此颁发CA)会发生什么? 如果是时间戳,代码仍然会被接受吗? 过期的Root和颁发CA证书是否仍然存在(例如,在受信任的根CA证书存储区中)? 这是我的假设,即使CA可能被降级,执行签名的客户端仍然必须信任CA? 否则,信任链将被打破,对吧? 缺乏CRL或AIA会造成什么问题?
我的Win7盒子上的证书存储是不断悬挂的。 注意: C:\> 1.cmd C:\> certutil – ? | findstr /我平 -ping – Ping Active Directory证书服务请求界面 -pingadmin – Ping Active Directory证书服务pipe理界面 C:\>设置PROMPT = $ P($ t)$ G C:\(13:04:28.57)> certutil -ping CertUtil:-ping命令失败:0x80070002(WIN32:2) CertUtil:系统找不到指定的文件。 C:\(13:04:58.68)> certutil -pingadmin CertUtil:-pingadmin命令失败:0x80070002(WIN32:2) CertUtil:系统找不到指定的文件。 C:\(13:05:28.79)> set PROMPT = $ P $ G C:\> 说明: 第一个命令显示了certutil的–pingadmin和–pingadmin参数 尝试任何ping参数失败,30秒超时(在提示中看到当前时间) 这是一个严重的问题。 它在我的应用程序中将所有的安全通信都locking 如果有人知道如何解决这个问题,请分享。 谢谢。 PS 1.cmd只是这些命令的一批: […]