我最近设置了一个新的 Windows 2012 R2 Enterprise SHA2 颁发 CA 来替换旧的 Windows 2008 R2 SHA1 颁发 CA。它还安装了可供公众访问的 Web 注册,因此所有 DNS 记录都已到位,可以通过 Web 与受信任的证书进行联系。除了测试请求证书的最后阶段外,一切似乎都进展顺利。提交请求表单后,显示以下错误:
请求方式:newreq-新请求
处置:(从未设置)
处置消息:(无)
结果:未完成帐户名和安全 ID 之间的映射。0x80070534(WIN32:1332 ERROR_NONE_MAPPED)
COM 错误信息:CCertRequest::Submit:未完成帐户名称和安全 ID 之间的映射。0x80070534(WIN32:1332 ERROR_NONE_MAPPED)
LastStatus:未完成帐户名称和安全 ID 之间的映射。0x80070534(WIN32:1332 ERROR_NONE_MAPPED)
建议的原因:没有建议。
最后一部分是我最喜欢的并且最有帮助的……!
到目前为止,调查此错误表明这是由于在 IIS 中的 certsrv 站点上启用了匿名身份验证,但这是一个面向公众的 CA,并且不希望客户端受到质询/提示输入凭据,因为他们首先不会有任何凭据可用。此外,以前的 SHA1 CA 只启用了匿名身份验证,没有出现质询,所以看不出为什么这个有什么不同。
有任何想法吗?
答案1
this is a public facing CA and don't want clients to be challenged/prompted for credentials as they won't have any。
我认为独立 CA 更为合适。
企业证书颁发机构在证书注册期间强制对用户进行凭据检查。每个证书模板在 Active Directory 中都设置了安全权限,以确定证书请求者是否有权接收他们所请求的证书类型。
也许可以通过向每个人授予权限,并设置 Windows 安全选项“网络访问:让每个人的权限应用于匿名用户”来解决这一问题,但这并不符合正统做法。