我正在设置一个两层 Active Directory 证书服务 PKI 层次结构,其中包含一个离线独立根 CA(服务器 2019)和一个在线企业从属 CA(也是服务器 2019)。
我已成功配置离线根 CA(设置 CDP / AIA 扩展),并且 ADCS 服务启动时没有任何问题。然后我在企业下属 CA 上配置 ADCS,并在“C:\”内创建了一个 .req 文件。将 .req 文件复制到根 CA,颁发证书,导出 *.p7b 并移回下属 CA。当我选择“安装 CA 证书”时,出现以下错误:
“配置 Active Directory 证书服务时检测到错误。需要重新运行 Active Directory 证书服务安装向导才能完成配置。无法安装新的证书颁发机构证书,因为 CA 版本扩展不正确。应使用最近生成的请求文件来获取新证书:C:\CA(1).req 数据无效。0x800x7000d (WIN32: 13 ERROR_INVALID_DATA)
我以域管理员身份登录企业子 CA,并将企业管理员权限添加到我的 DA 帐户。我尝试在子 CA 上重新安装 ADCS,创建新的 .req,然后重新签名。我 100% 确信在提交给根 CA 时我使用的是正确的 .req 文件,并且导出了正确的子 CA 证书。
我对原始证书请求文件运行了“certutil -dump *.req”,验证了 CA 版本扩展名是 V0.0。然后在从根 CA 导出的签名子 CA 证书上运行了相同的命令,并具有完全相同的 CA 版本扩展名。
任何想法都将不胜感激。如果有任何其他信息有帮助,请告诉我。
答案1
找到了问题的答案。不确定这是否与我们的 AD 域无关,但我必须创建一个唯一的帐户,其中只添加了企业管理员组。然后按照相同的过程操作,即可安装 CA 证书。
总结一下:
如果您遇到与上述相同的问题,请尝试创建具有企业管理员权限的单个帐户,并且仅在企业子 CA 上安装/配置 ADCS 时使用该单个帐户。