none
Zertifikat kann nicht ausgestellt werden RRS feed

  • Frage

  • Hallo,
    ich habe eine Server 2012 Sub-CA und mir eine Zertifikatsanforderung erstellt.

    Diese möchte ich einreichen und bekomme folgenden Fehler:

    Lt. KB Artikeln liegt es an der Zertifikatsvorlage. Ich habe aber so ziemlich alle versucht, jedoch immer der gleiche Fehler. Auch mit der default Computer gehts nicht.
    Was mache ich da noch falsch?

    Danke und Gruß
    Dennis

    Montag, 9. November 2020 10:26

Antworten

  • Glaube habe den Fehler gefunden.
    Der certsrv war nur über http erreichbar.
    Habe jetzt im IIS den an https gebunden mit seinem Cumputerzertifikat.
    Nun konnte ich über die Web-GUI ein Zertifikat erstellen.
    • Als Antwort markiert HaschkeD Donnerstag, 12. November 2020 07:57
    Donnerstag, 12. November 2020 07:57

Alle Antworten

  • Moin,

    überprüfe mal die Berechtigungen auf der Vorlage. Der Computer, auf dem die Issuing CA läuft, muss sie zumindest lesen können.


    Evgenij Smirnov

    http://evgenij.smirnov.de


    Montag, 9. November 2020 11:15
  • OK. Also Domänencomputer und Auth. Benutzer können diese registrieren.
    Das Zertifikat ist für eine Fortinet Firewall.
    Leider kann ich dort den Request nicht erstellen. Diesen habe ich dann auf der Sub-CA erstellt über IIS.
    Liegt da evtl. der Fehler?
    Montag, 9. November 2020 11:23
  • Moin,

    nein, dort liegt der Fehler nicht (außer, dass Du dich ohne Not interaktiv auf einer CA anmeldest, aber das ist ein anderes Thema ;-) ). 

    Ich sprach nicht von "registrieren", sondern von "lesen". Das muss die CA dürfen. 


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 9. November 2020 11:44
  • Hallo, Du versuchst, die "Computer"-Zertifikatvorlage zu beantragen.

    Das dazugehörige AD-Objekt (und das musst Du bei -attrib angeben) heißt "Machine", versuche es mal damit.

    Du wirst aber als nächstes wahrscheinlich in das Problem laufen, dass Dir das Zertifikat nicht richtig ausgestellt wird, weil die "Computer" Vorlage darauf konfiguriert ist, die Subject Information aus dem AD zu bilden (und Dein Benutzer hat eben kein dNSName Attribut hinterlegt ;o). Wenn Du das umgehen willst müsstest Du die WebServer Vorlage verwenden, dort ist eingestellt dass der Antragsteller (also Du) die Subject Information vorgibt, oder noch besser, eine auf dieser Vorlage basierende eigene verwenden.

    Bitte beachten: Wenn der Antragsteller die Subject Information angeben kann, kann das ein Sicherheitsrisiko sein. Darum bitte mindestens sicherstellen, dass nur Du das Recht für die Beantragung hast.

    Dann kann es - je nachdem wie Du die Zertifikatanforderung gestellt hast - noch sein, dass in deiner Zertifikatanforderung bereits ein Attribut eingetragen ist, welches die gewünschte Zertifikatvorlage angibt, das könnte dann in Konflikt stehen mit Deinem -attrib Schalter.

    Wenn Du nicht weiterkommst, bitte die genaue Fehlermeldung jeweils posten ;).

    Beste Grüße

    Uwe



    Dienstag, 10. November 2020 10:58
  • Glaube habe den Fehler gefunden.
    Der certsrv war nur über http erreichbar.
    Habe jetzt im IIS den an https gebunden mit seinem Cumputerzertifikat.
    Nun konnte ich über die Web-GUI ein Zertifikat erstellen.
    • Als Antwort markiert HaschkeD Donnerstag, 12. November 2020 07:57
    Donnerstag, 12. November 2020 07:57
  • Glaube habe den Fehler gefunden.
    Der certsrv war nur über http erreichbar.
    Habe jetzt im IIS den an https gebunden mit seinem Cumputerzertifikat.
    Nun konnte ich über die Web-GUI ein Zertifikat erstellen.
    Das war aber nicht *der* Fehler. Eine Microsoft-CA ist immer per RPC erreichbar, und das ist das, was certutil und certreq benutzen.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 12. November 2020 08:21