我遇到的问题是,我无法在证书颁发机构颁发自制证书模板,即在证书颁发机构中,右键单击证书模板并选择颁发证书模板。我的模板没有出现。
情况(按时间顺序有些变化):
- 1 个森林;2 个域(A.local 和 B.local)
- 1 个主 CA (root-ca) 和 2 个子 CA (sub-ca1 和 sub-ca2)
- Main-ca:安装在 A.local 的域控制器上
- Sub-ca1:安装在B.local的域控制器上
Sub-ca2:仅为sub-ca2颁发证书:sub-ca是一个基于linux的ca。
从 Win2008R2 升级到 Win2019 -> 将 CA 从 dc_A_2008R 导出到 dc_A_2019
- sub-ca1 已从域控制器中删除,B.local 也被删除 仅剩下 A.local
- 复制到域A的所有DC
撤销颁发给域 B.local 的所有证书,并撤销子域 ca1 的证书
Root-ca 正在为计算机证书工作(由 GPO 注册)
- Root-ca 适用于基于 Web(使用浏览器)的证书请求,例如 Web 服务器。
- Root-ca 正在为用户证书工作
评论:将证书颁发机构迁移到新的 DCdc_a_2019 后,我还更新了证书吊销列表分发点。
因此,经过谷歌搜索后,我发现以下问题可能是导致该问题的原因:
- 等待复制,以便所有模板都复制到所有 DC -> 完成
- B.local 已从架构中完全删除,PDC…
- 在 AD 站点和服务中手动删除 sub-ca1(我也这样做了)
事件日志中的错误:
- 该请求针对的是 Active Directory 证书服务策略 (0x80094800) 不支持的证书模板。
- 联机响应程序服务无法找到用于配置的签名证书。
补充说明一下:我也无法将 OSCP-Responder 添加为模板。
有什么解决方法吗?如何调试?
答案1
好的,我在这里找到了问题和解决方案:https://securitymusings.com/article/1733/cant-create-a-new-certificate-template-to-issue
如果将来链接无法使用:
- 打开 ADSIEdit.msc
- 右击ADSI 编辑器-连接
- 在下面连接点选择配置和好的
- 导航CN=配置 | CN=服务 | CN=公钥服务 | CN=注册服务
- 右键单击属性并选择特性
- 选择旗帜- 如果是2然后将其更新为10
- 在 DC 之间复制(使用 Active Directory 站点进行手动复制)
- 重新启动证书颁发机构(右键单击 - 任务 -停止-开始)