Windows Server 2008R2を使用して2層CAを作成しました。 .inf
このスタンドアロンルートとエンタープライズsubCAの作成に使用されるファイルはこの投稿の最後にあります。
ルートは正常にインストールされ、SubCAに証明書を発行します。次に、SubCAはドメインコントローラーに証明書を自動的に発行しました。
私のPKIヘルスはグリーンで、すべてのチェーンが有効で、CRLが公開されています。
ただし、ExchangeサーバーにSAN証明書を登録しようとすると、要求は受け入れられません。実際、エラーメッセージはまったく表示されません。フォローしています( http ://exchangeserverpro.com/how-to-issue-a-san-certificate-to-exchange-server-2010-from-a-private-certificate-authority)[ "発行方法SANプライベート認証局からExchange2010への証明書]、および要約すると:
Exchange管理シェルから:New-ExchangeCertificate -FriendlyName "Exchange 2010 Certificate" -IncludeServerFQDN -DomainName mail.mydomain.net,autodiscover.mydomain.net,webmail.mydomain.net -GenerateRequest -PrivateKeyExportable $true
サブCAWeb証明書サービスにアクセスしますhttp://subca/certsvc
証明書をリクエストする
高度な証明書リクエストを送信する
Base-64でエンコードされたCMCまたはPKCS#10ファイルを使用して証明書要求を送信します
手順1のリクエストを保存したリクエストボックスに貼り付けます
証明書の種類を選択するWebサーバー
[送信]をクリックします
何も...ページは同じページを再び表示することを拒否します。ページやログにエラーはなく、リクエストは送信されません。
CertsrvMMCを介してcerファイルを下位CAに送信しようとしました。CAを右クリック->すべてのタスク->新しいリクエストを送信-> cerファイルを選択し、[OK]をクリックします。何も起こらず、エラーも、保留中のリクエストも、ログにも何もありません。
; CAPolicy.inf example file for the Root CA
[Version]
Signature= "$Windows NT$"
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20
CRLPeriod = Years
CRLPeriodUnits = 1
CRLDeltaPeriod = Days
CRLDeltaPeriodUnits = 0
AlternateSignatureAlgorithm=1
[CRLDistributionPoint]
Empty=true
[AuthorityInformationAccess]
Empty=true
; CApolicy.inf file for the Issuing CA
[Version]
Signature= "$Windows NT$"
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=10
CRLPeriod=Weeks
CRLPeriodUnits=1
CRLDeltaPeriod=Days
CRLDeltaPeriodUnits=1
CRLOverlapPeriod=Days
CRLOverlapUnits=2
ValidityPeriod=Years
ValidityPeriodUnits=2
AlternateSignatureAlgorithm=1
詳細情報を見つけた後、これを解決できました Exchange管理コンソール(EMC)またはExchange管理シェル(EMS)によって生成された証明書要求をMicrosoft証明書サービスに送信することはできません
要約すると、これは、証明書要求がUnicodeエンコーディングとして保存されており、MicrosoftCertificateサービスがUnicodeエンコードされたファイルをサポートしていないためです。
修正は、メモ帳でリクエストファイルを開き、今度はANSIエンコーディングで新しいファイルとして保存することです。その後、このANSIエンコードファイルをCAに再送信すると機能し、証明書が発行されます。