web-dev-qa-db-ja.com

Windows Server 2008R2でのNDESのサービス証明書の更新

現在、Windows 2008 R2 EnterpriseでNDESサービスを使用していますが、同じボックスがスタンドアロンの認証局でもあります。

初期セットアップ中に、NDESはテンプレートCEPEncryptionおよびEnrollmentAgentOfflineに基づいてSCEPの2つのサービス証明書を作成しました。

これらの2つのSCEP証明書は期限切れになっており、更新/新規要求に苦労しています。

証明書を使用してそれらを更新しようとするとMMC同じキーでスナップ(すべてのタスク->高度な操作->同じキーでこの証明書を更新))はエラーを生成します

「登録ポリシーサーバーが見つかりません」

次のURLの手順に従ってサービス証明書を更新しようとしましたが、私たちがいるシナリオ(スタンドアロンCAなど)には正しくないようです。

http://social.technet.Microsoft.com/wiki/contents/articles/9063.network-device-enrollment-service-ndes-in-active-directory-certificate-services-ad-cs.aspx# Renewing_Service_Certificates

具体的には、ステップ10、11が逸脱し始めます

  1. 右クリックして[すべてのタスク]を選択し、[新しい証明書の選択]をクリックします。 ([新しい証明書の選択]オプションはありません)。
  2. [証明書の登録]ダイアログボックスで、[次へ]をクリックします。 (選択したすべての更新/要求タスクで上記のエラーが発生します)

誰かがエラーで私を助けて、このシナリオでこれらのサービス証明書を更新する方法について教えてもらえますか?

4
Craig

スタンドアロンCAシナリオが問題の原因であることが判明しました。証明書に組み込まれた更新および証明書要求プロセスMMC GUIには、ポリシーWebサーバーが必要です(インストールにはドメイン権限が必要なので、スタンドアロンCAでは実行できません)。

その結果、新しい証明書を手動で削除、要求、および受け入れる必要があります。 certutilを使用して手動で実行する方法の詳細についてのブログ記事を見つけました。

http://blogs.technet.com/b/askds/archive/2008/04/28/configuring-network-device-enrollment-service-for-windows-server-2008-with-custom-certificates。 aspx

1
Craig

私はちょうどこれと同じ問題に遭遇しました。 "Select New Certificates"は、あなたが参照するTechNet記事の誤りだと思います。これは "Request New Certificates"と表示されるはずです。いずれにせよ、この手順はスタンドアロンCAでは機能しません。

証明書を手動で更新しようとするのではなく、Active Directory証明書サービスの役割からNDESサービスを削除し、NDESサービスを再度追加して、2つの新しい証明書を作成することで問題を解決しました。

NDESサービスの削除を完了するためにサーバーを1回再起動する必要があるため、理想的ではありませんが、最小限の労力で目的の結果を達成しました。

0
Tim