继企业 CA 证书请求错误我在 Windows 2012 R2 上安装了新的 SHA2 CA 以及 CA Web 注册,现在我能够从外部浏览器请求证书,并从 CA 控制台成功颁发这些证书,但是,当我返回检查待处理证书请求的状态并尝试安装时,它会重定向到http://CertificateAuthority/certsrv/certnew.cer?ReqID=CACert&Renewal=0&Mode=inst&Enc=b64显示 HTTP 500 内部服务器错误页面。
我修改了 CertSrv 站点的 web.config,将错误模式改为“详细”,但只显示上述页面。在此站点的 W3SVC1 日志中,我可以看到以下错误:
软件:Microsoft Internet Information Services 8.5 版本:1.0 日期:2017-04-06 10:21:24 字段:日期时间 s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2017-04-06 10:21:24 83.231.185.99 获取 /certsrv/certnew.cer ReqID=CACert&Renewal=0&Mode=inst&Enc=b64|5|ASP_0126|Include_file_not_found 443 - 172.21.51.241 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+rv:11.0)+like+Geckohttps://CertificateAuthority/certsrv/certfnsh.asp500 0 0 234
2017-04-06 10:24:12 83.231.185.99 POST /certsrv/certfnsh.asp - 443 - 172.21.51.241 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+rv:11.0)+like+Geckohttps://CertificateAuthority/certsrv/certckpn.asp200 0 0 124
2017-04-06 10:24:17 83.231.185.99 获取 /certsrv/certnew.cer ReqID=CACert&Renewal=0&Mode=inst&Enc=b64|5|ASP_0126|Include_file_not_found 443 - 172.21.51.241 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+rv:11.0)+like+Geckohttps://CertificateAuthority/certsrv/certfnsh.asp500 0 0 15
我想从中读出未找到文件,但这是我需要帮助的地方。
当我尝试打开 C:\Windows\System32\certsrv 中的 certnew.cer 文件时,显示以下消息:
无效的公钥安全对象文件 - 该文件不能用作以下用途:安全证书。
但是,我似乎无法在现有的旧 CA 上打开它,在那里我没有看到这个问题,所以感觉这是意料之中的事!?
单击 CA 服务器本身和其他内部服务器上的浏览器上的安装链接即可顺利安装,因此从表面上看这只是一个外部问题。
有任何想法吗?
答案1
在花了那么多时间写出这个问题之后,我发现了问题......哎呀!
由于某种原因,我记不太清楚,但我知道为了解决我看到的错误,我必须将所有文件从 C:\Windows\System32\certsrv\en-US 移动到 C:\Windows\System32\certsrv,但这样做时,出于显而易见的原因,必须修改所有 .asp 文件以指向 certdat.inc 而不是 ..\certdat.inc。我没有意识到的是,此目录中的 cer、p7b 和 crl 文件实际上不是证书文件,实际上也是可编辑的,包含与上面相同的 ..\certdat.inc 路径。一旦我将其更改为 certdat.inc,我就能够从网站安装证书。
我可以成功地在内部安装它,但这让我有点吃惊,因为无论计算机位于何处(内部/外部),我都无法考虑到这个问题,但显然事实并非如此。
.....永远学习。