Não é possível enviar solicitação de certificado para 2k8R2 CA

2

Eu criei uma CA de duas camadas usando o Windows Server 2008 R2. Os arquivos .inf usados para criar esta raiz autônoma e uma subcorporativa corporativa estão no final deste post.

A raiz está instalada OK e emitiu um certificado para o SubCA. A SubCA, por sua vez, emitiu certificados para os controladores de domínio automaticamente.

Minha saúde de PKI é verde, com todas as correntes válidas e as CRLs publicadas.

No entanto, quando tento registrar um certificado SAN no meu servidor Exchange, a solicitação não é aceita. Na verdade, não há mensagem de erro. Eu estou seguindo ( link "Como emitir um certificado SAN para o Exchange 2010 de uma autoridade de certificação privada] e, em resumo:

  1. Do Shell de Gerenciamento do Exchange: New-ExchangeCertificate -FriendlyName "Exchange 2010 Certificate" -IncludeServerFQDN -DomainName mail.mydomain.net,autodiscover.mydomain.net,webmail.mydomain.net -GenerateRequest -PrivateKeyExportable $true

  2. Eu vou para meus serviços de certificado da Web da CA secundária http://subca/certsvc

  3. Solicite um certificado

  4. Envie uma solicitação avançada de certificado

  5. Envie uma solicitação de certificado usando um arquivo CMC ou PKCS # 10 codificado na base 64

  6. Cole a solicitação da etapa 1 na caixa de solicitações salvas

  7. Selecione o tipo de certificado Servidor da Web

  8. Enviar envio

  9. Nada ... a página é atualizada para mostrar a mesma página novamente. Não há erro na página ou em nenhum log e a solicitação não é enviada.

Tentei enviar o arquivo cer para a autoridade de certificação subordinada também por meio do certsrv MMC, clico com o botão direito do mouse no CA - > Todas as tarefas - > Enviar nova solicitação - > selecione o arquivo cer e clique em ok. Nada acontece, sem erro, sem pedido pendente, não há nada nos logs, nada.

; CAPolicy.inf example file for the Root CA
 [Version]
 Signature= "$Windows NT$"

RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20

CRLPeriod = Years
CRLPeriodUnits = 1
CRLDeltaPeriod = Days
CRLDeltaPeriodUnits = 0

AlternateSignatureAlgorithm=1

[CRLDistributionPoint]
Empty=true

[AuthorityInformationAccess]
 Empty=true


; CApolicy.inf file for the Issuing CA
[Version]
Signature= "$Windows NT$"
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=10
CRLPeriod=Weeks
CRLPeriodUnits=1
CRLDeltaPeriod=Days
CRLDeltaPeriodUnits=1
CRLOverlapPeriod=Days
CRLOverlapUnits=2
ValidityPeriod=Years
ValidityPeriodUnits=2
AlternateSignatureAlgorithm=1
    
por g18c 22.04.2012 / 21:58

1 resposta

2

Consegui resolver isso depois de encontrar mais informações Não é possível enviar uma solicitação de certificado gerada pelo Exchange Management Console (EMC) ou pelo Shell de Gerenciamento do Exchange (EMS) para os Serviços de Certificados Microsoft

Em resumo, isso ocorre porque a solicitação de certificado foi armazenada como codificação Unicode e os serviços de certificados da Microsoft não oferecem suporte a arquivos codificados com unicode.

A correção é abrir o arquivo de solicitação no bloco de notas e salvar-as como um novo arquivo desta vez com a codificação ANSI. O reenvio desse arquivo codificado em ANSI para a autoridade de certificação é, então, executado e o certificado é emitido.

    
por 23.04.2012 / 22:22