A nova CA raiz não listará os modelos de certificado de versão 2 e 3 do esquema

1

Estou tentando descomissionar uma máquina do Server 2008 que hospeda DC, NPS e CA. Eu implantei dois novos servidores para assumir como CA raiz e servidor RADIUS (ambos os novos servidores são 2012R2). A nova CA raiz está emitindo certificados (inscrição automática de autenticação DC) e o novo servidor NPS foi restaurado com nossa configuração existente.

Como estou removendo o servidor NPS de um controlador de domínio, preciso emitir um certificado RAS e IAS Server da minha nova CA. Quando tento selecionar o certificado que criei para emitir, a interface só está listando os modelos de certificado com uma versão de esquema 1 como disponível para emissão. Isso é devido ao meu nível funcional de domínio (2008)? Ou o fato de que eu ainda tenho uma CA autorizada executando o padrão Server 2008? Ou estou faltando alguma outra coisa?

-

EDIT 1: Para os meus propósitos, verifica-se que um antigo certificado regular do computador permite que o RADIUS se autentique. Eu ainda gostaria de descobrir por que não posso emitir modelos de certificado de versão 2/3 do esquema nessa configuração.

EDIT 2: Eu removi todos os modelos de certificado da CA do Server 2008. Quando eu gerencio modelos da CA 2012R2, posso ver os certificados V2 e 3, mas quando eu entro na tela "Modelo de certificado a ser emitido", apenas os modelos V1 são listados.

EDIT 3: exemplo de modelo:

  • Modelo de Computador Duplicado (Cria um modelo da versão 2)
  • Geral: altere o nome de exibição, marque a opção Publicar certificado no Active Directory
  • Segurança: Confirme se os usuários autenticados leram, todas as outras permissões Padrão
  • Todas as outras configurações padrão
por Jaxaeon 27.10.2014 / 22:09

1 resposta

1
  1. se o servidor de CA existente (com base em 2008) ainda não estiver desatribuído, você precisará remover todos os modelos de certificado dessa autoridade de certificação.
  2. adicione modelos desejados à nova CA (baseada em 2012R2) para emissão.

Não , não há dependência no nível funcional do domínio.

    
por 28.10.2014 / 07:27