none
In order to complete the certificate enrollment, the Web site for the CA must be configured to use HTTPS authentication (Server 2012) RRS feed

  • Frage

  • Hallo

    Ich versuche grade auf einem 2012 DC ein Benutzerzertifikat anzufordern

    Mache ichdas, bekomme ich folgenden Fehler: In order to complete the certificate enrollment, the Web site for the CA must be configured to use HTTPS authentication

    Ich hab schon die TechNet durchsucht und versuche grade ein passendes Computerzertifikat soweit vorzubereiten, dass ich dann SSL verwenden kann.

    Dafür soll ich ja ein Zertifikat basierend auf einer Vorlage verwenden.

    Ich kann die folgenden Task beginnen:

    Neues Zertifikat anfordern (basierend auf der Active Directory Registrierungsrichtline)

    dort sehe ich 4 Vorlagen (Domänencontroller, Domänencontrollerauthentifizierung, Keberos-Authentifizierung und Verzeichnis E-Mail-Replikation)

    Ich brauche aber "Computer"

    Lasse ich mir alle anzeigen, fine ich dieses zwar. Aber: Die Berechtigungen auf dieser Zertifikatsvorlage lassen nicht zu, dass der aktuelle Benutzer sich für diesen Zertifikatstyp einschreibt

    Ich bin Member of: Administratoren, Dom-Admins, Orga-Admins, Orga Management, Schema und Richtlinien Admin

    Was fehlt mir denn? bzw. wie mache ich das, dassich Zugriff auf diese Computer Vorlage erhalte?

    Viele Grüße

    Lutz Rahe, Hamburg

    Mittwoch, 15. Oktober 2014 09:35

Antworten

  • Moin,

    ich hatte wohl überlesen, dass alles auf dem Domain Controller läuft. (pers.Anm.: Das ist nicht unbedingt Best Practice für eine PKI.)

    Ein Domain Controller kann die Vorlage 'Computer' nicht nutzen. Die Sicherheitseinstellungen erlauben nur 'Domänen Computer'

    Die Verwendungszwecke 'Clientauthentifizierung' und 'Serverauthentifizierung' sind aber auch in der Vorlage 'Domaincontrollerauthentifizierung' enthalten.

    Für die SSL Bindung am IIS braucht es nur die 'Serverauthentifizierung'. Es sollte sich dafür auch ein Zertifikat auf Basis der Vorlage 'Domaincontrollerauthentifizierung' nutzen lassen.


    This posting is provided AS IS with no warranties.

    • Als Antwort markiert Lutz Rahe Donnerstag, 16. Oktober 2014 09:35
    Donnerstag, 16. Oktober 2014 09:23

Alle Antworten

  • Moin,

    die Zertifikatsanforderung muss im Kontext des Computerkontos erfolgen.

    Über eine Eingabeaufforderung die 'mmc.exe' starten, das Snap-In 'Zertifikate' hinzufügen und dabei 'Computerkonto' wählen.


    This posting is provided AS IS with no warranties.

    Mittwoch, 15. Oktober 2014 11:50
  • Hallo

    Das hatte ich auch so gemacht (nur nicht extra beschrieben ok)

    http://www.petri.com/enable-https-certificate-authority-web-enrollment-windows-server-2008-2012.htm

    Aber das Ergebnis ist dann bei mir:

    Kein Zugriff auf die Zertifikatsvorlagen

    Gruß

    Lutz

    Mittwoch, 15. Oktober 2014 11:54
  • Ist die Vorlage 'Computer' überhaupt an einer bzw. der CA verfügbar?

    This posting is provided AS IS with no warranties.

    Mittwoch, 15. Oktober 2014 12:41
  • Das hier sehe ich:

    Mittwoch, 15. Oktober 2014 12:45
  • Das sind die Standard MS Zertifikatsvorlagen. Das bedeutet aber nicht zwangsläufig, dass es auch eine CA gibt, die diese anbietet.

    Dazu müsstest Du direkt auf der CA (mmc SnapIn 'Zertifizierungsstelle') nachschauen, ob die Vorlage dort zur Verfügung steht.

    Falls nicht, kannst Du mit Rechtsklick - Neu - Auszustellende Zertifikatsvorlage die Vorlage hinzufügen.


    This posting is provided AS IS with no warranties.

    Mittwoch, 15. Oktober 2014 17:31
  • Die Vorlage scheint aber da zu sein (oder?)

    Nur darauf zugreifen darf ich nicht

    Warum?

    Viele Grüße

    Lutz

    Donnerstag, 16. Oktober 2014 08:37
  • Moin,

    ich hatte wohl überlesen, dass alles auf dem Domain Controller läuft. (pers.Anm.: Das ist nicht unbedingt Best Practice für eine PKI.)

    Ein Domain Controller kann die Vorlage 'Computer' nicht nutzen. Die Sicherheitseinstellungen erlauben nur 'Domänen Computer'

    Die Verwendungszwecke 'Clientauthentifizierung' und 'Serverauthentifizierung' sind aber auch in der Vorlage 'Domaincontrollerauthentifizierung' enthalten.

    Für die SSL Bindung am IIS braucht es nur die 'Serverauthentifizierung'. Es sollte sich dafür auch ein Zertifikat auf Basis der Vorlage 'Domaincontrollerauthentifizierung' nutzen lassen.


    This posting is provided AS IS with no warranties.

    • Als Antwort markiert Lutz Rahe Donnerstag, 16. Oktober 2014 09:35
    Donnerstag, 16. Oktober 2014 09:23
  • Vielen dank

    Hab ich gemacht - und es ging sofort

    Viele Grüße

    Lutz

    Donnerstag, 16. Oktober 2014 09:36