Eu criei uma CA de duas camadas usando o Windows Server 2008 R2. Os arquivos .inf
usados para criar esta raiz autônoma e uma subcorporativa corporativa estão no final deste post.
A raiz está instalada OK e emitiu um certificado para o SubCA. A SubCA, por sua vez, emitiu certificados para os controladores de domínio automaticamente.
Minha saúde de PKI é verde, com todas as correntes válidas e as CRLs publicadas.
No entanto, quando tento registrar um certificado SAN no meu servidor Exchange, a solicitação não é aceita. Na verdade, não há mensagem de erro. Eu estou seguindo ( link "Como emitir um certificado SAN para o Exchange 2010 de uma autoridade de certificação privada] e, em resumo:
-
Do Shell de Gerenciamento do Exchange: New-ExchangeCertificate -FriendlyName "Exchange 2010 Certificate" -IncludeServerFQDN -DomainName mail.mydomain.net,autodiscover.mydomain.net,webmail.mydomain.net -GenerateRequest -PrivateKeyExportable $true
-
Eu vou para meus serviços de certificado da Web da CA secundária http://subca/certsvc
-
Solicite um certificado
-
Envie uma solicitação avançada de certificado
-
Envie uma solicitação de certificado usando um arquivo CMC ou PKCS # 10 codificado na base 64
-
Cole a solicitação da etapa 1 na caixa de solicitações salvas
-
Selecione o tipo de certificado Servidor da Web
-
Enviar envio
-
Nada ... a página é atualizada para mostrar a mesma página novamente. Não há erro na página ou em nenhum log e a solicitação não é enviada.
Tentei enviar o arquivo cer para a autoridade de certificação subordinada também por meio do certsrv MMC, clico com o botão direito do mouse no CA - > Todas as tarefas - > Enviar nova solicitação - > selecione o arquivo cer e clique em ok. Nada acontece, sem erro, sem pedido pendente, não há nada nos logs, nada.
; CAPolicy.inf example file for the Root CA
[Version]
Signature= "$Windows NT$"
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20
CRLPeriod = Years
CRLPeriodUnits = 1
CRLDeltaPeriod = Days
CRLDeltaPeriodUnits = 0
AlternateSignatureAlgorithm=1
[CRLDistributionPoint]
Empty=true
[AuthorityInformationAccess]
Empty=true
; CApolicy.inf file for the Issuing CA
[Version]
Signature= "$Windows NT$"
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=10
CRLPeriod=Weeks
CRLPeriodUnits=1
CRLDeltaPeriod=Days
CRLDeltaPeriodUnits=1
CRLOverlapPeriod=Days
CRLOverlapUnits=2
ValidityPeriod=Years
ValidityPeriodUnits=2
AlternateSignatureAlgorithm=1