環境
Windows Server 2008 sp1 Xeon CPU E5430 @ 2.66 GHz 16.0 GB Ram 64ビットオペレーティングシステム1TBディスクスペース
サーバーの役割:SQL Serverその他の情報:ドメインへの共同、ログインユーザーのドメイン管理者
問題
問題の原因となる手順:
Mmcスナップイン「certificates」を使用してコンピューター証明書を作成します。「root\Personal」ツリーの下の「Certificates」フォルダーを右クリックし、「すべてのタスク」->「新しい証明書の要求」をクリックします。 [証明書の登録]ウィンドウが表示され、ネットワークに接続され、ドメインにログオンしていることを確認します。次に、[次へ]をクリックすると、問題を示すウィンドウが表示されます。
「証明書タイプは使用できません」
「利用可能な証明書タイプがないため、今回は証明書をリクエストできません。証明書が必要な場合は、管理者に連絡してください。」
希望するソリューション
このサーバーで証明書を作成し、MSSQLサーバーへのSSL接続を実装します。
正しい手順に従っていますが( http://support.Microsoft.com/kb/316898/en-us )、エラーはおそらくエンタープライズ認証局(CA)がないことを意味しますドメイン、またはCAが何らかの理由で新しい証明書要求を受け入れていません。また、インストールされているCAが「コンピューター」証明書タイプの生成を許可していない可能性もあります。これは、CA構成で確認できます。
ソリューションは、エンタープライズCAがすでにセットアップおよび構成されているかどうかによって異なります。そうでない場合は、作成する必要があります(Microsoft technetサイトにガイダンスがありますが、簡単ではありません)。または、無料でダウンロードできるツールなど、自己署名SSL証明書を生成する別の方法を使用する必要があります。
私のセットアップでは、4つのDCがあり、LDAPSの証明書が必要でした。 CAがインストールされているDCで証明書を正常に作成しましたが、他のユーザー(たとえば、証明書の種類は利用できません)でエラーが発生しました。
問題は、これらのDCがCAを信頼していないことでした。証明書をデフォルトのドメインポリシーの信頼されたルートCAに追加し、DCでgpupdateを実行しました。
コンピューター証明書を自動的に要求するのと同じ問題がありましたが、それらは自動的に機能し、ユーザー証明書の要求には問題がありませんでした。
IISディレクトリのセキュリティ設定を変更して、PKI仮想ディレクトリのみに匿名アクセスを許可することで、問題を解決しました!
最近、同じ問題が発生しました。 AD CSを実行していると仮定して、問題を解決するには、GPO内のActive Directory登録ポリシー設定を削除して、証明書登録サーバーの場所をクライアントに伝え、同じ設定を元に戻します。
コンピューターの構成>ポリシー> Windowsの設定>セキュリティの設定>公開キーのポリシー>証明書サービスクライアント-証明書の登録ポリシー
この設定を編集します。
[証明書登録ポリシーリスト]で、Active Directory登録ポリシーを削除します。次に、再度追加して、デフォルトとして設定します。証明書テンプレートを表示できないクライアントでGPUPDATEを実行して、再試行してください。