Pedido de novo certificado de domínio filho - as permissões de modelo de certificado não permitem que o usuário atual se inscreva 0x80094012

3

Eu tenho a seguinte configuração do AD:

rootca (autônomo não conectado ao domínio)

  • mydom.local
    • dc1.mydom.local
    • svr1.mydom.local
    • subca.mydom.local (autoridade de certificação subordinada corporativa)
    • other.mydom.local
      • dc1.other.mydom.local
      • svr1.other.mydom.local

Eu posso registrar os certificados do servidor web OK para svr1.mydom.local, no entanto, eu faço login no svr1.other.mydom.local com o administrador do domínio filho e recebo o seguinte erro:

Permissions on the certificate template do not allow the current user to enroll for this type of certificate (0x80094012)

Acho que isso deve estar relacionado a permissões, mas não tenho certeza de como proceder. Qual é a melhor prática para permitir que administradores de domínios filhos solicitem certificados da autoridade de certificação subordinada localizada no domínio pai?

Meu arquivo inf está abaixo:

[NewRequest]
Subject="CN=svr1.other.mydom.local"
Exportable=TRUE
KeyLength=2048
KeySpec=1
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
OID=1.3.6.1.5.5.7.3.2 ; Client Authentication
[RequestAttributes]
CertificateTemplate = WebServer

e eu estou executando os seguintes comandos em svr1.other.mydom.local como [email protected] abaixo:

certreq -new c:\svr1.inf c:\svr1.req
certreq -submit c:\svr1.req c:\svr1.cer ; I get the error here
    
por g18c 19.07.2012 / 15:53

1 resposta

4

O usuário é um membro de um grupo de segurança que possui permissão de leitura e registro no modelo de certificado? Isso é necessário.

Como administrar modelos de certificado
link

Quando você instala certificados no armazenamento do computador e usa inscrição automática ou solicita manualmente o certificado usando o snap-in Certificados, a conta computador solicitante precisa das permissões Ler e registrar no modelo de certificado.

No entanto, quando você usa o Certreq.exe para solicitar certificados, mesmo que sejam certificados de computador e use MachineKeySet = True, o usuário solicitante precisa das permissões Ler e Registrar no modelo de certificado. Quando você usa Certreq.exe, as permissões do computador não são usadas.

    
por 19.07.2012 / 16:05