Não é possível emitir o Computer comput para o computador independente do meu ECA

3

Todo o ambiente do Windows 2K8R2 SP1.

Eu tenho uma autoridade de certificação corporativa em funcionamento em meu domínio. Eu quero emitir um certificado de computador (para fins de autenticação de servidor) para uma máquina externa, autônoma. Então, eu adiciono os serviços de função Web de Matrícula da Web de Certificação, Serviço Web de Registro de Certificado e Serviço da Web de Diretiva de Registro de Certificado ao meu ECA.

Agora, na minha máquina autônoma, eu navegue até o link . Vejo que só posso solicitar um "certificado de usuário". Na Solicitação Avançada de Certificado, ainda não há nenhuma opção para solicitar um certificado de Computador ou qualquer coisa que me dê o que eu preciso, até onde eu saiba.

Então eu edito o arquivo certrqtp.inc no meu ECA de forma que eu substituo rgAvailReqTypes (1,5) por rgAvailReqTypes (2,5), e adiciono isso ao final do arquivo:

    rgAvailReqTypes(1,FIELD_TEMPLATE)="Computer"
    rgAvailReqTypes(1,FIELD_FRIENDLYNAME)="Computer"
    rgAvailReqTypes(1,FIELD_OID)="1.3.6.1.5.5.7.3.1"
    rgAvailReqTypes(1,FIELD_CSPLIST)=""

Agora, quando eu navego no site, vejo um novo tipo de solicitação de certificado: Computador. No entanto, quando tento enviar essa solicitação na minha máquina autônoma, recebo este erro:

Certificate Request Denied 
The disposition message is "Denied by Policy Module 0x80094800, The request was for
a certificate template that is not supported by the Active Directory Certificate
Services policy: 1.3.6.1.5.5.7.3.1(Server Authentication). ".

Como posso emitir um certificado de computador do meu ECA para um computador externo e autônomo?

Se isso ajudar, estou tentando usar o certificado no computador autônomo para executar um ouvinte do WinRM nesse computador que usa SSL.

edit: O que eu fiz foi solicitar um certificado "Servidor da Web" da CA, que foi concedido. Foi instalado automaticamente no meu armazenamento de conta de usuário. A partir daí, eu exportei o certificado na minha máquina autônoma e, em seguida, importei-o para meu computador local - > Loja pessoal. Agora eu tenho um certificado lá que é nomeado após o meu HOSTNAME do meu computador autônomo, na propriedade Assunto, ele diz CN = HOSTNAME, e para "fins pretendidos", diz "Autenticação do servidor."

No entanto, agora eu recebo isso:

Apesar de eu ter um certificado em meu armazenamento pessoal de computador local que parece atender a todos esses requisitos. : (

    
por Ryan Ries 26.01.2012 / 01:35

2 respostas

1

Tudo bem, eu respondi minha própria pergunta. O certificado deve incluir chaves privadas exportáveis e deve residir no armazenamento do Computador Local. Para fazer isso, tive que duplicar o modelo do Servidor da Web como um novo modelo que permitia a exportação da chave privada. Ele também deve ser um modelo compatível com "Server 2003" e não um modelo do Server 2008, senão ele não será exibido na página da Web do Certsrv. A página da Web da Certsrv em sua CA instalará o certificado em seu usuário atual > Loja pessoal, mas não vai funcionar lá. Você deve exportá-lo (com chave privada) e depois importá-lo para sua máquina local > Loja pessoal. (Não basta clicar e arrastar, isso não vai funcionar também.)

Então, e só então, consegui finalmente executar

C:\Users\Administrator>winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="SERVER1";CertificateThumbprint="1d9256aea461788764cec1904463120f084292f8"}

sem erros.

    
por 30.01.2012 / 18:58
1

Eu já vi isso antes e estou tentando lembrar o que era. Você verificou que tem permissão para se inscrever no certificado? Clique com o botão direito do mouse em Modelos de certificado e escolha Gerenciar. Encontre o certificado do computador e vá para a guia de permissões. Você precisará adicionar a permissão de inscrição de todos, mas, por isso, você precisará garantir a aprovação do CA Manager na guia "requisitos de emissão".

    
por 26.01.2012 / 01:53