すべてのWindows2K8R2SP1環境。
ドメインに有効なエンタープライズ認証局があります。コンピューター証明書(サーバー認証用)を外部のスタンドアロンマシンに発行したい。そこで、認証局Web登録、証明書登録Webサービス、および証明書登録ポリシーWebサービスの役割サービスをECAに追加します。
スタンドアロンマシンで、 http:// myCA/certsrv を参照します。 「ユーザー証明書」しかリクエストできないようです。 Advanced Certificate Requestには、私が知る限り、コンピューター証明書や必要なものを提供するものを要求するオプションはまだありません。
そこで、ECAのcertrqtp.incファイルを編集してrgAvailReqTypes(1,5)をrgAvailReqTypes(2,5)に置き換え、これをファイルの最後に追加します。
rgAvailReqTypes(1,FIELD_TEMPLATE)="Computer"
rgAvailReqTypes(1,FIELD_FRIENDLYNAME)="Computer"
rgAvailReqTypes(1,FIELD_OID)="1.3.6.1.5.5.7.3.1"
rgAvailReqTypes(1,FIELD_CSPLIST)=""
Webサイトを閲覧すると、新しい証明書要求タイプであるコンピューターが表示されます。ただし、スタンドアロンマシンでそのリクエストを送信しようとすると、次のエラーが発生します。
Certificate Request Denied
The disposition message is "Denied by Policy Module 0x80094800, The request was for
a certificate template that is not supported by the Active Directory Certificate
Services policy: 1.3.6.1.5.5.7.3.1(Server Authentication). ".
ECAから外部のスタンドアロンコンピューターにコンピューター証明書を発行するにはどうすればよいですか?
それが役立つ場合は、SSLを使用するコンピューターでWinRMリスナーを実行する目的で、スタンドアロンコンピューターで証明書を使用しようとしています。
edit:私がしたことは、許可されたCAに「Webサーバー」証明書を要求することでした。それは私のユーザーアカウントストアに自動的にインストールされました。そこから、スタンドアロンマシンに証明書をエクスポートし、ローカルコンピューター->パーソナルストアにインポートしました。これで、スタンドアロンコンピューターのホスト名にちなんで名付けられた証明書がSubjectプロパティにあり、CN = HOSTNAMEと表示され、「意図された目的」では「サーバー認証」と表示されます。
しかし、今私はこれを取得します:
ローカルコンピューターのパーソナルストアに、これらすべての要件を満たしているように見える証明書がありますが。 :(
さて、私は自分の質問に答えました。証明書にはエクスポート可能な秘密鍵が含まれている必要があり、ローカルコンピューターストアに存在する必要があります。これを行うには、秘密鍵のエクスポートを可能にする新しいテンプレートとしてWebサーバーテンプレートを複製する必要がありました。また、Server 2008テンプレートではなく、「Server 2003」互換のテンプレートである必要があります。そうでない場合、CertsrvWebページに表示されません。 CAのCertsrvWebページは、現在のユーザー>パーソナルストアに証明書をインストールしますが、そこでは機能しません。 (秘密鍵を使用して)エクスポートしてから、ローカルマシン>パーソナルストアにインポートする必要があります。 (クリックしてドラッグするだけでなく、それも機能しません。)
それから、そしてその時だけ、私はついに実行できました
C:\Users\Administrator>winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="SERVER1";CertificateThumbprint="1d9256aea461788764cec1904463120f084292f8"}
エラーなし。
私はこれを以前に見たことがあり、それが何であったかを思い出そうとしています。証明書に登録する権限があることを確認しましたか?証明書テンプレートを右クリックして、「管理」を選択します。コンピューター証明書を見つけて、[アクセス許可]タブに移動します。全員の登録許可を追加する必要がありますが、このため、[発行要件]タブでCAManagerの承認を確保する必要があります。