web-dev-qa-db-ja.com

Windows Server 2019 ADCS-下位CA証明書をインストールできない

オフラインのスタンドアロンルートCA(サーバー2019)とオンラインのエンタープライズ下位CA(サーバー2019)を使用して、2層のActive Directory証明書サービスPKI階層を設定しています。

オフラインルートCAを正常に構成し(CDP/AIA拡張機能を設定)、ADCSサービスは問題なく開始されます。次に、エンタープライズ下位CAでADCSを構成すると、「C:\」内に.reqファイルが作成されます。 .reqファイルをルートCAにコピーし、証明書を発行し、*。p7bをエクスポートして、サブCAに戻しました。 「CA証明書のインストール」を選択すると、次のエラーが発生します。

"Active Directory証明書サービスの構成中にエラーが検出されました。構成を完了するには、Active Directory証明書サービスのセットアップWizardを再実行する必要があります。新しい認証局証明書をインストールできませんCAバージョンの拡張子が正しくないため。新しい証明書を取得するには、最後に生成されたリクエストファイルを使用する必要があります:C:\ CA(1).reqデータが無効です。0x800x7000d(WIN32:13 ERROR_INVALID_DATA)

Enterprise Sub CAにDomain Adminとしてログインし、DAアカウントにEnterprise Admin権限を追加しました。サブCAにADCSを再インストールして、新しい.reqを作成し、再署名してみました。ルートCAに送信し、正しいサブCA証明書をエクスポートするときに、正しい.reqファイルを使用していることを100%確信しています。

元の証明書リクエストファイルで「certutil -dump * .req」を実行し、CAバージョンの拡張子がV0.0であることを確認しました。次に、ルートCAからエクスポートされた署名済みのサブCA証明書に対して同じコマンドを実行しましたが、CAバージョンの拡張子はまったく同じです。

任意のアイデアをいただければ幸いです。他に役立つ情報がありましたらお知らせください。

1
kahuna09

私の問題に対する答えを見つけました。これがADドメインに分離されているかどうかはわかりませんが、エンタープライズ管理者グループのみが追加された一意のアカウントを作成する必要がありました。その後、同じプロセスに従って、CA証明書をインストールすることができました。

要約する:

上記と同じ問題が発生する場合は、Enterprise Admin権限を持つ単一のアカウントを作成してみてください。EnterpriseSub CAにADCSをインストール/構成するときは、その単一のアカウントのみを使用してください。

1
kahuna09