我们正在尝试让 Sophos XG 210 通过 LDAPS 连接到 Active Directory 域服务 (AD DS) / 域控制器 (DC) 服务器,但是这样做失败并出现以下两个错误:
设备 - AD 服务器连接测试失败
与 AD 服务器 %privateIPAddress% 的连接失败,错误为主机名与对等证书中的 CN 不匹配
我联系了 Sophos 及其高级技术支持:
- 验证了证书配置(安装在 Sophos XG 210 上的 AD CS 根 CA 证书和安装在其自身的 DC 服务器证书)。
- 建议 SFOS 16(而不是 SFOS 15)只能通过 IP 地址连接到 DC 服务器,因此我们必须使用基于 IP 地址的证书,而不是基于名称的标准证书。
- 建议将 SFOS 16 通过名称连接到 DC 服务器的能力视为其开发团队的功能请求,因此没有 ETA。
我们如何让 AD CS 向 IP 地址颁发证书?
更新 2017/08/23 17:58:
我有:
- 阅读:
1a。Microsoft 的支持文章如何向安全 LDAP 证书添加主题备用名称
1b.Microsoft 的 TechNet 文章如何申请具有自定义主题备用名称的证书
1c.微软博客如何在不使用 IIS 或 Exchange 的情况下申请证书 - 创建的文件
RequestPolicy.inf
包含以下内容:
[版本]
签名="$Windows NT$"[NewRequest]
主题 = “CN=%DC_Server_FQDN%”Exportable = FALSE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = “Microsoft RSA SChannel 加密提供程序”请求类型 = PKCS10
[增强密钥使用扩展]
OID=1.3.6.1.5.5.7.3.1[扩展]
2.5.29.17 = "{text}"
_continue_ = "ipaddress=%DC_Server_IP_Address%&"[请求属性]
证书模板 = Web 服务器
- 执行提升的命令:
3a、certreq -new "%Path%\RequestPolicy.inf" "%Path%\certnew.req"
3b、certreq -submit "%Path%\certnew.req" "%Path%\certnew.cer"
3c、certreq -retrieve %Request_ID% "%Path%\certnew.cer"
3d。certreq -accept "%Path%\certnew.cer"
- 发现已安装 AD CS 的 CA 颁发的证书,并且:
4a。其字段Subject Alternative Name
包括IP Address=%DC_Server_IP_Address%
4b。其字段Certificate Template Name
是WebServer
,但我认为需要DomainController
- 重新配置文件,用行
RequestPolicy.inf
替换行CertificateTemplate = WebServer
CertificateTemplate = DomainController
- 执行新的提升
certreq
命令失败并出现以下错误:
Active Directory 注册策略
{%GUID%}
ldap:
RequestId:%Request_ID%
RequestId:“%Request_ID%”
未颁发证书(已拒绝) 被策略模块拒绝 DNS 名称不可用,无法添加到主题备用名称。0x8009480f(-2146875377) 证书请求处理器:DNS 名称不可用,无法添加到主题备用名称。0x8009480f(-2146875377) 被策略模块
拒绝
- 使用证书颁发机构重新配置证书模板,从
Domain Controller Authentication
更改为。Subject Name
Build from this Active Directory information
Supply in the request
我无法解决与域控制器模板相关的错误。
更新 2017/08/25 09:10:
我有:
- 在 AD CS 服务器上,将模板复制
Domain Controller
为模板,Domain Controller 2
并将Subject Name
更改Build from this Active Directory information
为Supply in the request
。 - 在 DC 服务器上,执行新的提升的
certreq
命令,但失败并出现以下错误:
未找到模板。您仍想继续吗?
DomainController2未颁发证书(拒绝)被策略模块 0x80094800 拒绝,请求的证书模板不受 Active Directory 证书服务策略支持:DomainController2/DomainController2。
该 CA 不支持所请求的证书模板。0x80094800(-21 46875392)
证书请求处理器:此 CA 不支持所请求的证书模板。0x80094800(-2146875392)
被策略模块 0x80094800 拒绝,该请求针对的是 Active Directory 证书服务策略不支持的证书模板:DomainController2/DomainController2。
- 在 AD CS 服务器上,验证模板
Domain Controller 2
的 ACL 是否包括允许经过身份验证的用户读取。
更新2017/12/04:
Sophos XG 固件 17.0+ 支持通过 DNS 而不是 IP 地址连接 LDAPS 的“功能”,所以我不再需要这样做,但我将保留这个问题,因为它仍然存在。