web-dev-qa-db-ja.com

子ドメインの新しい証明書要求-証明書テンプレートのアクセス許可では、現在のユーザーは0x80094012を登録できません

次のAD構成があります。

rootca(スタンドアロンではドメイン接続されていません)

  • mydom.local
    • dc1.mydom.local
    • svr1.mydom.local
    • subca.mydom.local(エンタープライズ従属CA)
    • other.mydom.local
      • dc1.other.mydom.local
      • svr1.other.mydom.local

Svr1.mydom.localのWebサーバー証明書を登録できますが、子ドメイン管理者でsvr1.other.mydom.localにログインすると、次のエラーが発生します。

Permissions on the certificate template do not allow the current user to enroll for this type of certificate (0x80094012)

これは権限に関連している必要があると思いますが、どのようにすればよいかわかりません。子ドメイン管理者が親ドメインにある下位CAに証明書を要求できるようにするためのベストプラクティスは何ですか?

私のinfファイルは以下の通りです:

[NewRequest]
Subject="CN=svr1.other.mydom.local"
Exportable=TRUE
KeyLength=2048
KeySpec=1
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
OID=1.3.6.1.5.5.7.3.2 ; Client Authentication
[RequestAttributes]
CertificateTemplate = WebServer

そして、以下のコマンドをsvr1.other.mydom.local上で[email protected]として実行しています。

certreq -new c:\svr1.inf c:\svr1.req
certreq -submit c:\svr1.req c:\svr1.cer ; I get the error here
active-directoryad-certificate-servicespki
3
g18c

ユーザーは、証明書テンプレートの読み取りと登録のアクセス許可を持つセキュリティグループのメンバーですか?それが必要です。

証明書テンプレートの管理
http://technet.Microsoft.com/en-us/library/cc725621%28v=ws.10%29

コンピューターストアに証明書をインストールし、自動登録を使用するか、証明書スナップインを使用して手動で証明書を要求する場合、要求するcomputerアカウントには、証明書テンプレートに対する読み取りおよび登録のアクセス許可が必要です。 。

ただし、Certreq.exeを使用して証明書を要求する場合、それらがコンピューター証明書であり、MachineKeySet = Trueを使用している場合でも、要求するuserには、証明書テンプレートに対する読み取りおよび登録のアクセス許可が必要です。 。 Certreq.exeを使用する場合、コンピューターのアクセス許可は使用されません。

4
Greg Askew