我在 Windows 2003 域中遇到了证书颁发机构问题。我们需要配置一个证书颁发机构以允许通过 LDAP 进行 ssl/tls 加密通信,以便我们的应用程序网关服务器能够允许用户更改域密码。
我对证书和 CA 的服务器功能不太了解。
我们在域服务器上设置了 CA,但该服务器不是域控制器。这似乎没问题。但是,当我尝试在公钥策略部分下添加新的自动证书请求时,我得到了奇怪的结果。
执行此操作时,我选择域控制器证书模板并点击下一步,出现以下屏幕:
替代文本 http://www.evilmunky.com/cafail.png
我实际上希望此时能够选择 CA 服务器。单击 finsh,关闭向导,并且没有其他选项可供选择。有人可以建议我可以采取的一些诊断步骤吗?
答案1
您在自动设置中看到的模板由 CA 服务器上的证书模板上的安全设置决定。大多数计算机只能获得计算机证书,因为安全默认设置如此。另一个选项是使用证书 MMC 在 DC 本身上请求它。
- 开始 -> 运行 -> MMC
- 为计算机帐户添加“证书”管理单元
- 打开“个人”商店
- 右键单击“证书”,然后转到“所有任务”->“请求新证书”
- 这将为您提供一个简短的列表。在 DC 上,它应该有一个“域控制器”选项,请选择它。
- 按照向导操作
您应该获得一个用于 LDAPS 的域证书。
但是,如果您没有企业 CA,您将无法获得这些模板。“独立 CA”不具备上述功能。我在这方面没有太多经验,因此无法指导您。