我有以下 AD 配置:
rootca(独立,未连接域)
- mydom.local
- dc1.mydom.local
- svr1.mydom.本地
- subca.mydom.local(企业从属CA)
- 其他.mydom.local
- dc1.其他.mydom.本地
- svr1.其他.mydom.本地
我可以为 svr1.mydom.local 注册 Web 服务器证书,但是我使用子域管理员身份登录 svr1.other.mydom.local 时出现以下错误:
Permissions on the certificate template do not allow the current user to enroll for this type of certificate (0x80094012)
我认为这一定与权限有关,但我不确定如何进行——允许子域管理员从位于父域的下属 CA 请求证书的最佳做法是什么?
我的 inf 文件如下:
[NewRequest]
Subject="CN=svr1.other.mydom.local"
Exportable=TRUE
KeyLength=2048
KeySpec=1
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
OID=1.3.6.1.5.5.7.3.2 ; Client Authentication
[RequestAttributes]
CertificateTemplate = WebServer
我正在运行以下svr1.other.mydom.local命令[email protected]:
certreq -new c:\svr1.inf c:\svr1.req
certreq -submit c:\svr1.req c:\svr1.cer ; I get the error here
答案1
用户是否是具有证书模板的读取和注册权限的安全组成员?这是必需的。
管理证书模板
http://technet.microsoft.com/en-us/library/cc725621%28v=ws.10%29
当您将证书安装到计算机存储区并使用自动注册或使用证书管理单元手动请求证书时,请求电脑帐户需要对证书模板具有读取和注册权限。
但是,当您使用 Certreq.exe 申请证书时,即使它们是计算机证书并使用 MachineKeySet = True,申请用户需要证书模板上的读取和注册权限。使用 Certreq.exe 时,不使用计算机权限。