[AuthorityInformationAccess]在您定义和的“CAPolicy.inf”文件中[CRLDistributionPoint],这些部分可以使用动态值吗?例如: [CRLDistirubtionPoint] URL="http://pki.mycompany.tld/%3%8%9.crl" 或者 [CRLDistirubtionPoint] URL="http://pki.mycompany.tld/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl" 我搜索了...
问题 "The issuer of this certificate could not be found."我已经通过 AD 证书服务创建了一个证书,但是尽管 PFX 中存在完整链,但仍然出现错误。 语境 我使用标准模板从我们组织的 AD 证书服务服务器创建了代码签名证书code signing,并导出了创建的证书(带有可导出的私钥)。 尽管我们的根证书在所有公司设备上都受到信任,但我们在使用此证书签署代码时遇到了问题。 经过调查,如果我将 PFX 转换为 PEM(文件扩展名为.CER)并在文本编辑器中打开它,我可以看到 PEM 文件中列出的客户端、中间和...
我想在相对较小的 Windows 环境中实现两层 PKI:大约 35 个用户和 5 个虚拟服务器。虽然我对 Linux 没有什么经验,但我正在尝试使用西卡在基于 Linux 的虚拟机上作为离线根证书颁发机构,因为我不确定是否有必要为大部分时间处于关闭状态的计算机支付 Windows Server 许可费用。 我找到了两组我想要实现的配置的说明。 https://4sysops.com/archives/use-openssl-based-software-xca-as-offline-root-certificate-authority-for-ad-ce...
我有一个在 Windows Server 2019 上运行的 DC,并且它安装了域服务角色。我使用 AD CS 角色在同一域中设置了一个多层 CA(根 CA 已关闭、中间 CA 已关闭、发行 CA 已打开并已加入域)。 我无法让第三方客户端(即未加入域的计算机和/或 Web 应用程序)通过 LDAPS/636 进行 BIND。它们在 LDAP/389 上工作得很好,有些还可以与 StartTLS 配合使用,尽管这并不总是一种选择,我更喜欢使用正确的 LDAPS。 我已为 AD 服务器生成证书,并确保在证书主题中使用其 FQDN,并将其 DNS 主机名和 IP...
如何在 ADCS 中设置由我的子 CA 根据计算机证书模板颁发的证书的有效期?目前,我的证书仅颁发一年。 如果我打开证书模板的属性,它只会显示一些基本信息,并且无法更改任何内容。 ...
我对基于 ADCS 的高可用性 PKI 有一些具体问题。 问题如下。请参阅下面的详细信息以获取有关该原因的更多信息。 - - - - - - - - - - - - - - 问题 - - - - - - - - - - - - 在具有多个颁发 CA 的环境中。客户端如何选择联系哪个 CA 来获取新证书?托管 2 台具有在线响应者角色的虚拟机,并将吊销配置指向两个 CA,与托管 2 个在线响应者(这些响应者设置在阵列中并指向两个 CA 的吊销配置)之间有什么区别?具有 2 个 CA 的高可用性 NDES 设置的...
我已经找了好几天了,但似乎还是不明白如何在 IIS 中使用域证书。这有什么意义吗?据我所知,你绝对不能更改它将使用的模板,也不能更新 WebServer 模板。我摆弄模板有一段时间了,我的网络搜索功能让我失望了。 有这是 2012 年的答案但链接已失效。 默认模板没有 SAN,密钥大小为 1024。这两者都不适用于任何面向互联网的东西。如果域证书不被信任用于保护 Web 应用程序,那么它们有什么用呢? ...
如果我向我的 Active Directory 证书服务(通过 certsrv Web 界面在线提交)两次提交相同的 CSR 文件,我会获得两个不同的证书(根据序列号判断)。 有没有办法将 ADCS 配置为一次只允许特定主题使用单个证书?换句话说,如果 AD 已经有一个foo.example.com尚未过期或撤销的证书,并且有人为提交了另一个 CSR foo.example.com,我希望 ADCS 返回现有证书或拒绝生成新证书。 证书模板上有一个名为的选项,[] Do not automatically reenroll if a duplicate ce...
运行 Windows 的 Microsoft PKI 的默认安装包括 LDAP URL,它是 CRL 分发点 (CDP) 和授权信息访问 (AIA) 中的第一个。 问题 1: 我想从我的 Windows 证书颁发机构服务器向 Cisco DNA 设备颁发证书,但希望我的 HTTP 类型 CRL 作为证书的第一个部分,内部 LDAP URL 作为 CDP 和 AIA 扩展中的第二个部分 问题2 : 我想从我的 Windows 证书颁发机构服务器向 Cisco DNA 设备颁发证书,但只希望证书中包含 HTTP 类型的 CRL,并删除 CDP 和 AIA 扩展中...
我有 AD CS,它可以自动为绑定到目录的服务器提供和更新机器证书。(有一个证书模板可以控制此自动颁发。) 我有一台 IIS 服务器绑定到目录,该目录为一些网站提供服务,我想使用 AD CS 颁发的证书来保护这些网站。只有信任 AD CS 根证书的客户端才能访问这些网站。 我知道在编辑站点绑定时,我可以在 IIS 中简单地选择机器证书。我不知道当机器更新该证书时,这是否会自动处理。 但我实际上想在不同于机器名的主机名上运行站点,并且让多个具有不同 SNI 的站点从同一个 IIS 实例运行。 理论上,IIS 可以自动从 AD CS 请求和更新证书以匹配给定站点...
与任何 IT 环境一样,Web 服务器证书的数量也在不断增加。随着有效期缩短至 1 年,如果这些流程不自动化,管理工作量也会同时增加。目前,我们有一个基于 MS ADCS 的简单 PKI。 我从未将 Web 服务器(主要是带有 IIS、Apache、Tomcat 等的 Windows Server)证书的颁发委托给 Web 服务器,因为我无法使用 Microsoft 板载资源控制在 Web 服务器请求中指定哪个域。即使您仍然可以将展示限制在某些群体中。 这是一个技术示例 我很想知道其他人的情况如何,以及其他人是否也越来越多地谈到这里描述的观点。从 CA 的角...
我目前正在“原型化”具有 AD CS 角色的 Windows PKI。我有两层层次结构(根离线 CA -> 企业子 CA -> 数字证书)。 此外,我正在尝试将我的根 CA 的 CRL 发布到网络驱动器。让我解释一下我的设置: 我有一个域控制器 (DCVS01),为域服务foonet.local。此外,我还有一个位于域中的 Windows Server 2019 (WS01)。此服务器运行 IIS 并共享文件夹wwwroot\CertEnroll,并以此创建网络共享。我拥有的最后一台服务器是 Windows Server (WS02),它未加入域...
我们的 AD 域中有两个中级企业 CA(Windows AD CS)。两个 CA 都仅启用了证书颁发机构角色。 CA1 负责向工作站和用户颁发证书,并具有模板工作站认证。 CA2 负责向服务器颁发证书,并有一个模板服务器认证。 自动注册功能在我们域内的所有工作站和服务器上均已启用并正常运行。 问题: 工作站应该只针对 CA1 进行自动注册, 而服务器应该只针对 CA2 进行自动注册。 我想使用组策略来实现这一点。 我知道我可以只允许安全组成员在模板上自动注册,这样就可以了。 但是,我更喜欢使用组策略的解决方案,因为我们将工作站和服务器组织在不同的 OU 中。...
我有一台带有 Web 注册的 Windows 2008 Enterprise ADCS 服务器。我想知道/配置发布在用户提交另一个请求之前,证书会保留在页面上。 在研究这个问题时,发现这似乎与 certdat.inc 的“nPendingTimoutDays”不同,因为它控制的是待处理的请求,而不是已颁发的证书。 ...
假设我有一个 CSR,其中有一些主题字段不是根据 X.509 创建的 - 其中有禁用字符主题, 或者国家被指定为“英格兰”。 有没有什么办法可以恢复? 我试过: 使用策略信息重新颁发证书,但我找不到任何方法来改变现有的主题 直接在 CA 上编辑请求,但由于 CSR 中有一些禁止的内容,请求立即失败,并使用certutil-setattributes结果是“CERTSRV_E_BAD_REQUESTSUBJECT”(有点意料之中,但有点奇怪,因为您可以尝试重新发出“失败”列表中的请求)。 我认为这里不可能“修复”不良的 CSR,但也许我错了? ...