我正在尝试在域控制器上提交 SSL 证书请求以启用 LDAP SSL,但问题不断。
我正在关注http://support.microsoft.com/default.aspx?scid=kb;en-us;321051&http://adldap.sourceforge.net/wiki/doku.php?id=ldap_over_ssl
迄今采取的措施:
使用以下信息创建 Servername.inf
;----------------- 请求.inf -----------------
[版本]
签名="$Windows NT$
[新要求]
Subject = "CN=servername.domain.loc" ; 用 DC 的 FQDN 替换 KeySpec = 1 KeyLength = 1024 ; 可以是 1024、2048、4096、8192 或 16384。 ; 密钥越大越安全,但对性能的影响也越大。 Exportable = TRUE MachineKeySet = TRUE SMIME = False PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12 RequestType = PKCS10 KeyUsage = 0xa0
[增强密钥使用扩展]
OID=1.3.6.1.5.5.7.3.1 ;这用于服务器身份验证
;-----------------------------------------------
通过运行以下命令创建证书请求:certreq -new 服务器名称.inf 服务器名称.req
- 尝试通过运行以下命令向 CA 提交证书请求:certreq -submit -attrib "证书模板:DomainController" 请求.req
- 此时我收到以下错误:DNS 名称不可用,无法将其添加到主题备用名称。0x8009480f(-2146875377)
我目前采取的故障排除步骤 1. 修改域控制器模板以在请求中提供主题名称,重新启动证书服务,在请求中包含 SAN,错误相同。 2. 重新安装证书服务/IIS/无数次重启机器
如能提供任何帮助解决该问题,我们将不胜感激。
答案1
在 Active Directory 中检查 servername.domain.loc 的条目。查看其属性,检查其 DNS 名称属性。如果为空,则添加 DNS 名称。
答案2
我在这里找到了解决方案:http://www.techpository.com/?page_id=1364 您需要编辑模板以使用请求提供的主题名称,而不是从 AD 构建它。
以下是我遵循的相关步骤:
- 点击开始->运行,然后输入命令mmc
- 单击 mmc 控制台中的文件,然后选择添加/删除管理单元...
- 单击“添加/删除快照”对话框中的“添加…”按钮
- 选择证书模板,单击添加
- 关闭步骤4)中可用的独立管理单元窗口。
- 您将看到“证书模板”,单击“确定”。
- 在“控制台根目录\证书模板”中找到“域控制器身份验证”
- 双击“域控制器身份验证”打开它。
- 选择“主题名称”选项卡,然后选择“在请求中提供”,单击“应用”
编辑模板后,您需要将其删除并再次添加到 CA。