web-dev-qa-db-ja.com

SSL証明書要求s2003DC CADNS名は使用できません

LDAP SSLを有効にするために、ドメインコントローラーでSSL証明書の要求を送信しようとしていますが、問題はありません。

http://support.Microsoft.com/default.aspx?scid=kb;en-us;321051http://adldap.sourceforge)で提供されている情報に従っています。 net/wiki/doku.php?id = ldap_over_ssl

これまでに行った手順:

  1. 次の情報を使用してServername.infを作成します

    ; ----------------- request.inf -----------------

    [バージョン]

    Signature = "$ Windows NT $

    [NewRequest]

    件名= "CN = servername.domain.loc"; DC KeySpec = 1 KeyLength = 1024のFQDNに置き換えます。 1024、2048、4096、8192、または16384にすることができます。;キーサイズが大きいほど安全ですが、;パフォーマンスへのより大きな影響。 Exportable = TRUE MachineKeySet = TRUE SMIME = False PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12 RequestType = PKCS10 KeyUsage = 0xa0

    [EnhancedKeyUsageExtension]

    OID = 1.3.6.1.5.5.7.3.1;これはサーバー認証用です

    ; -----------------------------------------------

  2. 次を実行して証明書要求を作成します:certreq -new Servername.inf Servername.req

  3. 次のコマンドを実行して、CAに証明書要求を送信しようとします:certreq -submit -attrib "CertificateTemplate:DomainController" request.req
  4. その時点で、次のエラーが発生します。DNS名が使用できず、サブジェクト代替名に追加できません。 0x8009480f(-2146875377)

これまでに行ったトラブルシューティング手順1.ドメインコントローラーテンプレートを変更して、リクエスト再起動証明書サービスにサブジェクト名を指定します。リクエストにSANを含めます。同じエラーです。 2.再インストールされた証明書サービス/ IIS /マシンを数え切れないほど再起動しました

問題を解決するための助けをいただければ幸いです。

3
Beuy

ここで解決策を見つけました: http://www.techpository.com/?page_id=1364 ADからビルドする代わりに、リクエストで提供されたサブジェクト名を使用するには、テンプレートを編集する必要があります。

これが私が従った関連するステップです:

  1. [スタート]-> [実行]をクリックし、コマンドmmcを入力します
  2. Mmcコンソールで[ファイル]をクリックし、[スナップインの追加と削除...]を選択します。
  3. [スナップの追加と削除]ダイアログで[追加...]ボタンをクリックします
  4. 証明書テンプレートを選択し、[追加]をクリックします
  5. 手順4)で使用可能なスタンドアロンスナップインウィンドウでウィンドウを閉じます。
  6. 「証明書テンプレート」が表示されたら、[OK]をクリックします。
  7. 「コンソールルート\証明書テンプレート」で「ドメインコントローラー認証」を見つけます
  8. 「ドメインコントローラー認証」をダブルクリックして開きます。
  9. 「サブジェクト名」タブを選択し、「リクエストで提供」を選択して、「適用」をクリックします

テンプレートを編集した後、テンプレートを削除してCAに再度追加する必要があります。

1
datagutten