我在 Server 2016 上运行它,域是 2012r2,客户端计算机是 Win10 和 Win7。
我最近设置了一个两层 PKI 基础架构(离线根),大多数配置都没有问题。我目前遇到的问题与 CEP/CES Web 服务有关。
中间 CA 与我们大多数加入域的计算机是分开的,因此我无法使用 LDAP 注册策略进行注册(大多数客户端都不允许通过 RPC 访问 CA)。考虑到这一点,我创建了第三台服务器,CRL/AIA 信息驻留在该服务器中,并托管 CEP/CES Web 服务(Kerberos,无基于密钥的续订)。加入域的计算机可以毫无问题地添加和验证注册策略服务器,但是当我尝试申请新证书时,可用模板列表为空白. 证书注册对话框显示消息“证书类型不可用”
当我在有权访问中间 CA 的加入域的计算机上使用基于 LDAP 的注册策略时,我会看到我已设置 CA 发布的所有模板,并且可以毫无问题地为其中任何一个提交注册请求。
当我配置 CEP Web 服务时,我必须首先更改 Web 服务的策略 ID,如下所述此处第 3c 节(LDAP 和 CEP 时 GUID 与现有 GUID 冲突...)以便客户端能够正确验证注册策略服务器。
我已经验证我的测试机器和测试用户都对我希望看到的所有模板具有读取和注册权限,我已经重新启动了 CA 和托管 CEP/CES Web 服务的服务器。
任何帮助,将不胜感激。
答案1
我最终屈服了,并向微软支付了支持费用。他们让我卸载并重新安装网络服务,一切都像奇迹一样顺利。我们始终没有找到根本原因。