Eu tenho um ambiente de diretório ativo em 2003 R2. Eu instalei o 2008 R2 Enterprise Edition CA. Em seguida, criei um modelo personalizado a partir do modelo de servidor da Web e adicionei a data de validade como 15 anos. meu certificado raiz é válido por 25 anos. Em seguida, fui para modelos e removi o modelo padrão do servidor da Web e adicionei o modelo recém-criado. Então eu tentei solicitar um certificado através do IIS em outro servidor no domínio. Mas não está emitindo o certificado. Quando eu verifico no certificado de falha de CA, ocorreu o erro.
Negado pelo módulo de política 0x80094800, a solicitação era para um modelo de certificado não suportado pela política de serviço de certificado do Active Directory: webserver
Eu tentei o certutil -setreg CA \ ValidityPeriodUnits 21 Não está funcionando.
Quando eu removo o modelo personalizado e adiciono o modelo do servidor Web, ele emite apenas um certificado válido de 2 anos.
Por favor ajude.
IIRC, o MMC do IIS é codificado para sempre solicitar o modelo com o nome "webserver". Seu modelo personalizado não tem esse nome, acho que reutilizar esse nome para um modelo personalizado nem é possível. Depois de removê-lo, o erro "não encontrado" é relatado incorretamente como "acesso negado".
Para usar seu modelo personalizado, você precisará usar a interface do navegador para a CA e selecionar seu modelo lá.