向 AD CS 中的 IP 地址颁发证书

tag-icon tag-icon active-directory ssl-certificate ad-certificate-services pki
向 AD CS 中的 IP 地址颁发证书

我们正在尝试让 Sophos XG 210 通过 LDAPS 连接到 Active Directory 域服务 (AD DS) / 域控制器 (DC) 服务器,但是这样做失败并出现以下两个错误:

设备 - AD 服务器连接测试失败

与 AD 服务器 %privateIPAddress% 的连接失败,错误为主机名与对等证书中的 CN 不匹配

我联系了 Sophos 及其高级技术支持:

  1. 验证了证书配置(安装在 Sophos XG 210 上的 AD CS 根 CA 证书和安装在其自身的 DC 服务器证书)。
  2. 建议 SFOS 16(而不是 SFOS 15)只能通过 IP 地址连接到 DC 服务器,因此我们必须使用基于 IP 地址的证书,而不是基于名称的标准证书。
  3. 建议将 SFOS 16 通过名称连接到 DC 服务器的能力视为其开发团队的功能请求,因此没有 ETA。

我们如何让 AD CS 向 IP 地址颁发证书?

 

更新 2017/08/23 17:58:

我有:

  1. 阅读:
    1a。Microsoft 的支持文章如何向安全 LDAP 证书添加主题备用名称
    1b.Microsoft 的 TechNet 文章如何申请具有自定义主题备用名称的证书
    1c.微软博客如何在不使用 IIS 或 Exchange 的情况下申请证书
  2. 创建的文件RequestPolicy.inf包含以下内容:

[版本]
签名="$Windows NT$"

[NewRequest]
主题 = “CN=%DC_Server_FQDN%”

Exportable = FALSE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = “Microsoft RSA SChannel 加密提供程序”

请求类型 = PKCS10

[增强密钥使用扩展]
OID=1.3.6.1.5.5.7.3.1

[扩展]
2.5.29.17 = "{text}"
_continue_ = "ipaddress=%DC_Server_IP_Address%&"

[请求属性]
证书模板 = Web 服务器

  1. 执行提升的命令:
    3a、certreq -new "%Path%\RequestPolicy.inf" "%Path%\certnew.req"
    3b、certreq -submit "%Path%\certnew.req" "%Path%\certnew.cer"
    3c、certreq -retrieve %Request_ID% "%Path%\certnew.cer"
    3d。certreq -accept "%Path%\certnew.cer"
  2. 发现已安装 AD CS 的 CA 颁发的证书,并且:
    4a。其字段Subject Alternative Name包括IP Address=%DC_Server_IP_Address%
    4b。其字段Certificate Template NameWebServer,但我认为需要DomainController
  3. 重新配置文件,用行RequestPolicy.inf替换行CertificateTemplate = WebServerCertificateTemplate = DomainController
  4. 执行新的提升certreq命令失败并出现以下错误:

Active Directory 注册策略
{%GUID%}
ldap:
RequestId:%Request_ID%
RequestId:“%Request_ID%”
未颁发证书(已拒绝) 被策略模块拒绝 DNS 名称不可用,无法添加到主题备用名称。0x8009480f(-2146875377) 证书请求处理器:DNS 名称不可用,无法添加到主题备用名称。0x8009480f(-2146875377) 被策略模块
拒绝

  1. 使用证书颁发机构重新配置证书模板,从Domain Controller Authentication更改为。 Subject NameBuild from this Active Directory informationSupply in the request

我无法解决与域控制器模板相关的错误。

 

更新 2017/08/25 09:10:

我有:

  1. 在 AD CS 服务器上,将模板复制Domain Controller为模板,Domain Controller 2并将Subject Name更改Build from this Active Directory informationSupply in the request
  2. 在 DC 服务器上,执行新的提升的certreq命令,但失败并出现以下错误:

未找到模板。您仍想继续吗?
DomainController2

未颁发证书(拒绝)被策略模块 0x80094800 拒绝,请求的证书模板不受 Active Directory 证书服务策略支持:DomainController2/DomainController2。

该 CA 不支持所请求的证书模板。0x80094800(-21 46875392)

证书请求处理器:此 CA 不支持所请求的证书模板。0x80094800(-2146875392)

被策略模块 0x80094800 拒绝,该请求针对的是 Active Directory 证书服务策略不支持的证书模板:DomainController2/DomainController2。

  1. 在 AD CS 服务器上,验证模板Domain Controller 2的 ACL 是否包括允许经过身份验证的用户读取。

 

更新2017/12/04:

Sophos XG 固件 17.0+ 支持通过 DNS 而不是 IP 地址连接 LDAPS 的“功能”,所以我不再需要这样做,但我将保留这个问题,因为它仍然存在。

相关内容