SSL 证书请求 s2003 DC CA DNS 名称不可用

SSL 证书请求 s2003 DC CA DNS 名称不可用

我正在尝试在域控制器上提交 SSL 证书请求以启用 LDAP SSL,但问题不断。

我正在关注http://support.microsoft.com/default.aspx?scid=kb;en-us;321051&http://adldap.sourceforge.net/wiki/doku.php?id=ldap_over_ssl

迄今采取的措施:

  1. 使用以下信息创建 Servername.inf

    ;----------------- 请求.inf -----------------

    [版本]

    签名="$Windows NT$

    [新要求]

    Subject = "CN=servername.domain.loc" ; 用 DC 的 FQDN 替换 KeySpec = 1 KeyLength = 1024 ; 可以是 1024、2048、4096、8192 或 16384。 ; 密钥越大越安全,但对性能的影响也越大。 Exportable = TRUE MachineKeySet = TRUE SMIME = False PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12 RequestType = PKCS10 KeyUsage = 0xa0

    [增强密钥使用扩展]

    OID=1.3.6.1.5.5.7.3.1 ;这用于服务器身份验证

    ;-----------------------------------------------

  2. 通过运行以下命令创建证书请求:certreq -new 服务器名称.inf 服务器名称.req

  3. 尝试通过运行以下命令向 CA 提交证书请求:certreq -submit -attrib "证书模板:DomainController" 请求.req
  4. 此时我收到以下错误:DNS 名称不可用,无法将其添加到主题备用名称。0x8009480f(-2146875377)

我目前采取的故障排除步骤 1. 修改域控制器模板以在请求中提供主题名称,重新启动证书服务,在请求中包含 SAN,错误相同。 2. 重新安装证书服务/IIS/无数次重启机器

如能提供任何帮助解决该问题,我们将不胜感激。

答案1

在 Active Directory 中检查 servername.domain.loc 的条目。查看其属性,检查其 DNS 名称属性。如果为空,则添加 DNS 名称。

答案2

我在这里找到了解决方案:http://www.techpository.com/?page_id=1364 您需要编辑模板以使用请求提供的主题名称,而不是从 AD 构建它。

以下是我遵循的相关步骤:

  1. 点击开始->运行,然后输入命令mmc
  2. 单击 mmc 控制台中的文件,然后选择添加/删除管理单元...
  3. 单击“添加/删除快照”对话框中的“添加…”按钮
  4. 选择证书模板,单击添加
  5. 关闭步骤4)中可用的独立管理单元窗口。
  6. 您将看到“证书模板”,单击“确定”。
  7. 在“控制台根目录\证书模板”中找到“域控制器身份验证”
  8. 双击“域控制器身份验证”打开它。
  9. 选择“主题名称”选项卡,然后选择“在请求中提供”,单击“应用”

编辑模板后,您需要将其删除并再次添加到 CA。

相关内容