Benutzer mit den meisten Antworten
Zertifikat für LDAPS ausstellen (Dienstkonto) Server 2008

Frage
-
Eines unserer Zertifikate zur Serverauthentifizierung ist abgelaufen und muss erneuert werden. Es gibt unter dem Dienstkontenbereich allerdings keine entsprechende Auswahl für die Zertifikatsanfrage.
Ich habe auch mal eine Vorlage erstellt und aktiviert so wie hier beschrieben:
Dieser Artikel spricht aber vom lokalen Computerkonto des DC, bei unserem DC02 liegt das entsprechende Zertifikat unter dem Dienstkonto, dort taucht meine Zertifikatsanforderungsvorlage nicht auf, wie auf dem ersten Bild zu sehen. Das Zertifikat vom dc02 kann ich auch nicht kopieren, weil sich der priv. Schlüssel nicht exportieren lässt.
Kann mir bitte jemand weiterhelfen? :-)
- Bearbeitet Kevin Meister Dienstag, 26. Februar 2013 16:52
Antworten
-
Hat sich erledigt - funktioniert wieder.
Das bisherige Zertifikat stammte noch aus einer 2003er PKI und wurde nach Ablauf durch ein Domaincontroller Zertifikat im Computerkonto ersetzt, das wurde allerdings nicht gleich verwendet. Mittlerweile funktioniert wieder alles, ohne dass etwas geändert wurde.
- Als Antwort markiert Kevin Meister Donnerstag, 4. April 2013 07:21
Alle Antworten
-
Für LDAPS reicht ganz primitiv "Serverauthentifizierung". ADDS nimmt dasZertifikat dann automatisch.mfg Martin
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating! -
Ja, Serverauthentifizierung würde reichen - das taucht aber auch nicht bei den Anforderungen auf, siehst ja oben was alles erscheint.
- Bearbeitet Kevin Meister Mittwoch, 27. Februar 2013 10:10
-
> Ja, Serverauthentifizierung würde reichen - das taucht aber auch nicht> bei den Anforderungen auf, siehst ja oben was alles erscheint.Fehlt Dir das passende Template? (Mangels MS PKI kann ich's leider nichtreproduzieren ;-()
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating! -
Anscheinend - wo kann ich das denn festlegen welche Templates ich da habe? In der Liste tauchen ganz andere Sachen auf als in meinem Zertifikatvorlagen (siehe Screenshots)
- Bearbeitet Kevin Meister Mittwoch, 27. Februar 2013 13:57
-
Hallo,
in welchem Kontext wird die Zertifikatsanforderung erstellt? Dem Screenshot nach sieht es nach dem aktuellen Benutzer aus, daher werden auch nur für Benutzer zulässige Vorlagen angeboten.
Du könntest auf dem betreffenden Server einmal folgendes versuchen:
- Eine leere MMC öffnen (Eingabeaufforderung > mmc.exe)
- SnapIn hinzufügen
- Zertifikate wählen
- Kontext: Computer > lokaler Computer
- "Zertifikate" - "Eigene Zertifikate" - "Zertifikate" öffnen
- Mit Rechtsklick > Alle Aufgabe - Zertifikat anfordern
- Dann solltest Du die Auswahl der für Computer zulässigen Zertifikatsvorlagen sehen und das entsprechende Zertifikat anfordern können
---
Eventuell solltest Du für das LDAPS Zertifikat über Auto-Enrollment nachdenken. So kann wenigstens nicht vergessen werden, das Zertifikat nach Ablauf zu erneuern.
Configure Certificate Autoenrollment
This posting is provided "AS IS" with no warranties.
-
Hallo Dark Grant,
Kontext ist immer Domainenadministrator. Wenn ich eine Zertifikatsanforderung für den Computer erstelle habe ich alle aktiven Vorlagen zur Auswahl, so wie man es erwarten würde. Das Problem ist, wenn ich hier die Anforderung bei der CA einreiche bekomme ich das hier:
Was bedeutet das?
-
Hallo,
wenn Du Glück hast, ist lediglich die Zertifikatsvorlage fehlerhaft. Wenn Du Pech hast, gibt es ein DNS oder sonstiges Problem in Deiner Domäne.
Zuerst solltest Du daher Deine Domain Controller auf Fehler prüfen.
Bei Fehlern kann Dir möglicherweise jemand im AD-Forum weiterhelfen.
---
Wenn es Deinen DCs und dem DNS gut geht und das Problem immer noch besteht, kannst Du mit folgendem Befehl die Eigenschaften der Zertifikatsvorlage abfragen:
certutil -v -template [Name der Vorlage] >> C:\template.txt
Das Ergebnis bitte als Codeblock einstellen. Vielleicht findet sich dann eine Lösung.
This posting is provided "AS IS" with no warranties.
-
Bei dcdiag treten folgende Fehler auf:
Test SystemLog nicht bestanden. Starting test: VerifyEnterpriseReferences Beim Verifizieren mehrerer wichtiger DN-Verweise wurden die folgenden Probleme festgestellt. Hinweis: Diese Probleme sind m”glicherweise auf die Verz”gerung bei der Replikation zurckzufhren. Aus diesem Grund ist nur dann eine Aktion erforderlich, wenn dasselbe Problem auf allen Dom„nencontrollern einer Dom„ne auftritt oder das Problem auch noch besteht, nachdem ausreichend Zeit zum Replizieren der Žnderungen vergangen ist. [1] Problem: Erwarteter Wert nicht vorhanden. Basisobjekt: CN=CXKADC01,OU=Domain Controllers,DC=cxka,DC=local Beschreibung des Basisobjekts: "DC-Kontoobjekt" Attributname des Wertobjekts: msDFSR-ComputerReferenceBL Beschreibung des Wertobjekts: "SYSVOL FRS-Mitgliedsobjekt" Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862" [2] Problem: Erwarteter Wert nicht vorhanden. Basisobjekt: CN=CXKADC02,OU=Domain Controllers,DC=cxka,DC=local Beschreibung des Basisobjekts: "DC-Kontoobjekt" Attributname des Wertobjekts: msDFSR-ComputerReferenceBL Beschreibung des Wertobjekts: "SYSVOL FRS-Mitgliedsobjekt" Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862" LDAP-Fehler 0x20 (32) - Objekt nicht vorhanden. ......................... CXKADC01 hat den Test VerifyEnterpriseReferences nicht bestanden.
dcdiag.log
Verzeichnisserverdiagnose Anfangssetup wird ausgefhrt: Der Homeserver wird gesucht... Homeserver = CXKADC01 * Identifizierte AD-Gesamtstruktur. Sammeln der Ausgangsinformationen abgeschlossen. Erforderliche Anfangstests werden ausgefhrt. Server wird getestet: Karlsruhe\CXKADC01 Starting test: Connectivity ......................... CXKADC01 hat den Test Connectivity bestanden. Server wird getestet: Karlsruhe\CXKADC02 Starting test: Connectivity ......................... CXKADC02 hat den Test Connectivity bestanden. Prim„rtests werden ausgefhrt. Server wird getestet: Karlsruhe\CXKADC01 Starting test: Advertising ......................... CXKADC01 hat den Test Advertising bestanden. Starting test: CheckSecurityError [CXKADC01] Auf dem Dom„nencontroller wurden keine sicherheitsbedingten Replikationsfehler gefunden. Verwenden Sie den folgenden Befehl, um die Verbindung an einen bestimmten Quelldom„nencontroller zu richten: /ReplSource:<Dom„nencontroller>. ......................... CXKADC01 hat den Test CheckSecurityError bestanden. Starting test: CutoffServers ......................... CXKADC01 hat den Test CutoffServers bestanden. Starting test: FrsEvent ......................... CXKADC01 hat den Test FrsEvent bestanden. Starting test: DFSREvent ......................... CXKADC01 hat den Test DFSREvent bestanden. Starting test: SysVolCheck ......................... CXKADC01 hat den Test SysVolCheck bestanden. Starting test: FrsSysVol ......................... CXKADC01 hat den Test FrsSysVol bestanden. Starting test: KccEvent ......................... CXKADC01 hat den Test KccEvent bestanden. Starting test: KnowsOfRoleHolders ......................... CXKADC01 hat den Test KnowsOfRoleHolders bestanden. Starting test: MachineAccount ......................... CXKADC01 hat den Test MachineAccount bestanden. Starting test: NCSecDesc ......................... CXKADC01 hat den Test NCSecDesc bestanden. Starting test: NetLogons ......................... CXKADC01 hat den Test NetLogons bestanden. Starting test: ObjectsReplicated ......................... CXKADC01 hat den Test ObjectsReplicated bestanden. Starting test: OutboundSecureChannels ** Sichere ausgehende Kan„le wurden nicht getestet, da "/testdomain:" nicht eingegeben wurde. ......................... CXKADC01 hat den Test OutboundSecureChannels bestanden. Starting test: Replications ......................... CXKADC01 hat den Test Replications bestanden. Starting test: RidManager ......................... CXKADC01 hat den Test RidManager bestanden. Starting test: Services ......................... CXKADC01 hat den Test Services bestanden. Starting test: SystemLog ......................... CXKADC01 hat den Test SystemLog nicht bestanden. Starting test: Topology ......................... CXKADC01 hat den Test Topology bestanden. Starting test: VerifyEnterpriseReferences Beim Verifizieren mehrerer wichtiger DN-Verweise wurden die folgenden Probleme festgestellt. Hinweis: Diese Probleme sind m”glicherweise auf die Verz”gerung bei der Replikation zurckzufhren. Aus diesem Grund ist nur dann eine Aktion erforderlich, wenn dasselbe Problem auf allen Dom„nencontrollern einer Dom„ne auftritt oder das Problem auch noch besteht, nachdem ausreichend Zeit zum Replizieren der Žnderungen vergangen ist. [1] Problem: Erwarteter Wert nicht vorhanden. Basisobjekt: CN=CXKADC01,OU=Domain Controllers,DC=cxka,DC=local Beschreibung des Basisobjekts: "DC-Kontoobjekt" Attributname des Wertobjekts: msDFSR-ComputerReferenceBL Beschreibung des Wertobjekts: "SYSVOL FRS-Mitgliedsobjekt" Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862" [2] Problem: Erwarteter Wert nicht vorhanden. Basisobjekt: CN=CXKADC02,OU=Domain Controllers,DC=cxka,DC=local Beschreibung des Basisobjekts: "DC-Kontoobjekt" Attributname des Wertobjekts: msDFSR-ComputerReferenceBL Beschreibung des Wertobjekts: "SYSVOL FRS-Mitgliedsobjekt" Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862" LDAP-Fehler 0x20 (32) - Objekt nicht vorhanden. ......................... CXKADC01 hat den Test VerifyEnterpriseReferences nicht bestanden. Starting test: VerifyReferences ......................... CXKADC01 hat den Test VerifyReferences bestanden. Starting test: VerifyReplicas ......................... CXKADC01 hat den Test VerifyReplicas bestanden. Server wird getestet: Karlsruhe\CXKADC02 Starting test: Advertising ......................... CXKADC02 hat den Test Advertising bestanden. Starting test: CheckSecurityError [CXKADC02] Auf dem Dom„nencontroller wurden keine sicherheitsbedingten Replikationsfehler gefunden. Verwenden Sie den folgenden Befehl, um die Verbindung an einen bestimmten Quelldom„nencontroller zu richten: /ReplSource:<Dom„nencontroller>. ......................... CXKADC02 hat den Test CheckSecurityError bestanden. Starting test: CutoffServers ......................... CXKADC02 hat den Test CutoffServers bestanden. Starting test: FrsEvent ......................... CXKADC02 hat den Test FrsEvent bestanden. Starting test: DFSREvent ......................... CXKADC02 hat den Test DFSREvent bestanden. Starting test: SysVolCheck ......................... CXKADC02 hat den Test SysVolCheck bestanden. Starting test: FrsSysVol ......................... CXKADC02 hat den Test FrsSysVol bestanden. Starting test: KccEvent ......................... CXKADC02 hat den Test KccEvent bestanden. Starting test: KnowsOfRoleHolders ......................... CXKADC02 hat den Test KnowsOfRoleHolders bestanden. Starting test: MachineAccount ......................... CXKADC02 hat den Test MachineAccount bestanden. Starting test: NCSecDesc ......................... CXKADC02 hat den Test NCSecDesc bestanden. Starting test: NetLogons ......................... CXKADC02 hat den Test NetLogons bestanden. Starting test: ObjectsReplicated ......................... CXKADC02 hat den Test ObjectsReplicated bestanden. Starting test: OutboundSecureChannels ** Sichere ausgehende Kan„le wurden nicht getestet, da "/testdomain:" nicht eingegeben wurde. ......................... CXKADC02 hat den Test OutboundSecureChannels bestanden. Starting test: Replications ......................... CXKADC02 hat den Test Replications bestanden. Starting test: RidManager ......................... CXKADC02 hat den Test RidManager bestanden. Starting test: Services ......................... CXKADC02 hat den Test Services bestanden. Starting test: SystemLog ......................... CXKADC02 hat den Test SystemLog bestanden. Starting test: Topology ......................... CXKADC02 hat den Test Topology bestanden. Starting test: VerifyEnterpriseReferences Beim Verifizieren mehrerer wichtiger DN-Verweise wurden die folgenden Probleme festgestellt. Hinweis: Diese Probleme sind m”glicherweise auf die Verz”gerung bei der Replikation zurckzufhren. Aus diesem Grund ist nur dann eine Aktion erforderlich, wenn dasselbe Problem auf allen Dom„nencontrollern einer Dom„ne auftritt oder das Problem auch noch besteht, nachdem ausreichend Zeit zum Replizieren der Žnderungen vergangen ist. [1] Problem: Erwarteter Wert nicht vorhanden. Basisobjekt: CN=CXKADC01,OU=Domain Controllers,DC=cxka,DC=local Beschreibung des Basisobjekts: "DC-Kontoobjekt" Attributname des Wertobjekts: msDFSR-ComputerReferenceBL Beschreibung des Wertobjekts: "SYSVOL FRS-Mitgliedsobjekt" Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862" [2] Problem: Erwarteter Wert nicht vorhanden. Basisobjekt: CN=CXKADC02,OU=Domain Controllers,DC=cxka,DC=local Beschreibung des Basisobjekts: "DC-Kontoobjekt" Attributname des Wertobjekts: msDFSR-ComputerReferenceBL Beschreibung des Wertobjekts: "SYSVOL FRS-Mitgliedsobjekt" Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862" LDAP-Fehler 0x20 (32) - Objekt nicht vorhanden. ......................... CXKADC02 hat den Test VerifyEnterpriseReferences nicht bestanden. Starting test: VerifyReferences ......................... CXKADC02 hat den Test VerifyReferences bestanden. Starting test: VerifyReplicas ......................... CXKADC02 hat den Test VerifyReplicas bestanden. Starting test: DNS Starting test: DNS DNS-Tests werden ordnungsgem„á ausgefhrt. Warten Sie einige Minuten... ......................... CXKADC01 hat den Test DNS bestanden. ......................... CXKADC02 hat den Test DNS bestanden. Partitionstests werden ausgefhrt auf: ForestDnsZones Starting test: CheckSDRefDom ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... ForestDnsZones hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: DomainDnsZones Starting test: CheckSDRefDom ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... DomainDnsZones hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: Schema Starting test: CheckSDRefDom ......................... Schema hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... Schema hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: Configuration Starting test: CheckSDRefDom ......................... Configuration hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... Configuration hat den Test CrossRefValidation bestanden. Partitionstests werden ausgefhrt auf: cxka Starting test: CheckSDRefDom ......................... cxka hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... cxka hat den Test CrossRefValidation bestanden. Unternehmenstests werden ausgefhrt auf: cxka.local Starting test: DNS ......................... cxka.local hat den Test DNS bestanden. Starting test: LocatorCheck ......................... cxka.local hat den Test LocatorCheck bestanden. Starting test: FsmoCheck ......................... cxka.local hat den Test FsmoCheck bestanden. Starting test: Intersite Test der eingehenden standortbergreifenden Replikation fr den Standort Karlsruhe wird ausgefhrt: ......................... cxka.local hat den Test Intersite bestanden.
Template.txt
Name: Active Directory-Registrierungsrichtlinie ID: {D4F06FA0-D3AF-4386-9904-9D1B51854EB9} URL: ldap: 38 Vorlagen: Vorlage[19]: TemplatePropCommonName = LDAPoverSSL TemplatePropFriendlyName = LDAPoverSSL TemplatePropEKUs = 4 Objekt-IDs: 1.3.6.1.5.2.3.5 KDC-Authentifizierung 1.3.6.1.4.1.311.20.2.2 Smartcard-Anmeldung 1.3.6.1.5.5.7.3.1 Serverauthentifizierung 1.3.6.1.5.5.7.3.2 Clientauthentifizierung TemplatePropMajorRevision = 64 (100) TemplatePropDescription = Computer TemplatePropSchemaVersion = 3 TemplatePropMinorRevision = 1 TemplatePropRASignatureCount = 0 TemplatePropMinimumKeySize = 800 (2048) TemplatePropOID = 1.3.6.1.4.1.311.21.8.13250558.16216611.16205460.6606014.5621712.79.11572162.8374594 LDAPoverSSL TemplatePropV1ApplicationPolicy = 4 Objekt-IDs: 1.3.6.1.5.2.3.5 KDC-Authentifizierung 1.3.6.1.4.1.311.20.2.2 Smartcard-Anmeldung 1.3.6.1.5.5.7.3.1 Serverauthentifizierung 1.3.6.1.5.5.7.3.2 Clientauthentifizierung TemplatePropAsymmetricAlgorithm = RSA TemplatePropSymmetricAlgorithm = 3DES TemplatePropSymmetricKeyLength = a8 (168) TemplatePropHashAlgorithm = SHA1 TemplatePropKeyUsage = ffffff (16777215) TemplatePropEnrollmentFlags = 28 (40) CT_FLAG_PUBLISH_TO_DS -- 8 CT_FLAG_AUTO_ENROLLMENT -- 20 (32) TemplatePropSubjectNameFlags = 8400000 (138412032) CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS -- 400000 (4194304) CT_FLAG_SUBJECT_ALT_REQUIRE_DNS -- 8000000 (134217728) TemplatePropPrivateKeyFlags = 10 (16) CT_FLAG_EXPORTABLE_KEY -- 10 (16) TemplatePropGeneralFlags = 20060 (131168) CT_FLAG_AUTO_ENROLLMENT -- 20 (32) CT_FLAG_MACHINE_TYPE -- 40 (64) CT_FLAG_IS_MODIFIED -- 20000 (131072) TemplatePropSecurityDescriptor = O:S-1-5-21-3241429271-3032928588-1338520631-4632G:EAD:PAI(OA;;RPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;RO)(OA;;RPCR;a05b8cc2-17bc-4802-a710-e7c15ab866a2;;RO)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;DA)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;DD)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;EA)(OA;;RPWPCR;a05b8cc2-17bc-4802-a710-e7c15ab866a2;;DD)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;ED)(OA;;RPWPCR;a05b8cc2-17bc-4802-a710-e7c15ab866a2;;ED)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;DA)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;EA)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-3241429271-3032928588-1338520631-4632)(A;;LCRPLORC;;;AU) Zulassen Registrieren cxka\Schreibgeschützte Domänencontroller der Organisation Zulassen Automatische Registrierung cxka\Schreibgeschützte Domänencontroller der Organisation Zulassen Registrieren cxka\Domänen-Admins Zulassen Registrieren cxka\Domänencontroller Zulassen Registrieren cxka\Organisations-Admins Zulassen Automatische Registrierung cxka\Domänencontroller Zulassen Registrieren NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION Zulassen Automatische Registrierung NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION Zulassen Vollzugriff cxka\Domänen-Admins Zulassen Vollzugriff cxka\Organisations-Admins Zulassen Vollzugriff cxka\km_da Zulassen Lesen NT-AUTORITÄT\Authentifizierte Benutzer TemplatePropExtensions = 4 Erweiterungen: Erweiterung[0]: 1.3.6.1.4.1.311.21.7: Kennzeichen = 0, Länge = 30 Zertifikatvorlageninformationen Vorlage=LDAPoverSSL(1.3.6.1.4.1.311.21.8.13250558.16216611.16205460.6606014.5621712.79.11572162.8374594) Höhere Versionsnummer=100 Niedrigere Versionsnummer=1 Erweiterung[1]: 2.5.29.37: Kennzeichen = 0, Länge = 2b Erweiterte Schlüsselverwendung KDC-Authentifizierung (1.3.6.1.5.2.3.5) Smartcard-Anmeldung (1.3.6.1.4.1.311.20.2.2) Serverauthentifizierung (1.3.6.1.5.5.7.3.1) Clientauthentifizierung (1.3.6.1.5.5.7.3.2) Erweiterung[2]: 2.5.29.15: Kennzeichen = 1(Kritisch), Länge = 4 Schlüsselverwendung Digitale Signatur, Schlüsselverschlüsselung (a0) Erweiterung[3]: 1.3.6.1.4.1.311.21.10: Kennzeichen = 0, Länge = 33 Anwendungsrichtlinien [1]Anwendungszertifikatrichtlinie: Richtlinienkennung=KDC-Authentifizierung [2]Anwendungszertifikatrichtlinie: Richtlinienkennung=Smartcard-Anmeldung [3]Anwendungszertifikatrichtlinie: Richtlinienkennung=Serverauthentifizierung [4]Anwendungszertifikatrichtlinie: Richtlinienkennung=Clientauthentifizierung TemplatePropValidityPeriod = 10 Years TemplatePropRenewalPeriod =CertUtil: -Template-Befehl ist fehlgeschlagen: 0x80070057 (WIN32: 87) CertUtil: Falscher Parameter.
-
Hallo,
in Deiner Vorlage sind mir einige Dinge aufgefallen.
- Du hast eine V3 Vorlage erstellt, der Artikel empfielt jedoch eine V2 Vorlage. Mangels zugriff auf eine Test PKI kann ich nicht sagen, ob es zu Problemen führt. Mit einer V2 Vorlage bist Du aber auf der sicheren Seite.
- Im SubjectAlternativeName fehlt der Dienstprinzipalname (SPN).
- In der Vorlage ist keine Renewal Period (Erneuerungszeitraum) angegeben oder kann nicht abgefragt werden.
---
Zu diesem Fehler habe ich leider keine Idee.
TemplatePropRenewalPeriod =CertUtil: -Template-Befehl ist fehlgeschlagen: 0x80070057 (WIN32: 87) CertUtil: Falscher Parameter.
---Gibt es bei anderen Anforderungen ähnliche Probleme oder nur bei dieser einen Vorlage?
This posting is provided "AS IS" with no warranties.
- Du hast eine V3 Vorlage erstellt, der Artikel empfielt jedoch eine V2 Vorlage. Mangels zugriff auf eine Test PKI kann ich nicht sagen, ob es zu Problemen führt. Mit einer V2 Vorlage bist Du aber auf der sicheren Seite.
-
Hallo,
bist Du inzwischen weitergekommen?
Gruss,
RaulRaul Talmaciu, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können. -
1. Ich habe jetzt eine 2003er Vorlage erstellt (= V2 Vorlage?)
gleiches Problem2. Wo muss ich das einstellen? Sollten die Werte nicht automatisch passen wenn ich das Request mit der Zertifikatskonsole erstelle?
3. Renewal Periode Habe ich jetzt drin, ändert aber nichts
Wenn ich eine andere Anforderung aus der Zertifikatskonsole aus einreiche, z.B. Webserver, dann bekomme ich dashier:
Wenn ich eine Anforderung, die ich per Java erstellt habe, bei der Online CA einreiche, also https://ca/certsrv, dann funktioniert das - die gleiche Anforderung bei der CA in der Konsole eingereicht führt zu
Wenn ich widerum eine in der Konsole erstelle Anforderung (Webserver) bei certsrv einreiche bekomme ich
Die Zertifikatanforderung wurde verweigert. Ihre Anforderungs-ID lautet 318. Die Dispositionsmeldung ist "Fehler beim Erstellen bzw. Veröffentlichen des Zertifikats". Weitere Informationen erhalten Sie vom Administrator.
In der Certsrv stehen nur eine begrenzte Auswahl an Zertifikatsvorlagen, die LDAPS Variante ist nicht dabei.
Wenn ich die in der Konsole erstellte LDAPS Anforderung bei certsrv einreichen möchte erhalte ich sowas hier
Ihre Anforderungs-ID lautet 322. Die Dispositionsmeldung ist "Verweigert vom Richtlinienmodul 0x80094802, Die Anforderung spezifiziert in Konflikt stehende Zertifikatvorlagen: 1.3.6.1.4.1.311.21.8.13250558.16216611.16205460.6606014.5621712.79.13518072.10413429/User. ".
Ich verliere hier völlig den Überblick... Bisher hatte ich nie solche Probleme mit Zertifikaten.
-
Hallo,
zu 2. Das definierst du in der Vorlage im Register "Antragstellername"
Da sollten aktiviert sein:
... Informationen aus dem AD
Format: DNS Name
... Alternativer Antragstellername
DNS-Name und Dienstprinzipalname
---
Das Webportal der CA funktioniert etwas anders als die MMC. Es kann auch nicht alle Arten von Anforderungen bearbeiten.
Im Prinzip sollte alles was über das Webportal funktioniert auch über die MMC oder per "certutil" möglich sein.
Das Problem mit dem Java-Request dürfte sein, dass die MMC keine Vorlage zuordnen kann. Im Portal wählst du hingegen eine Vorlage aus und gibst den Request-Block zur Signatur an.
---
Eventuell helfen diese Artikel weiter:
http://support.microsoft.com/kb/932457/en-us
http://support.microsoft.com/kb/281260/en-us
http://support.microsoft.com/kb/312344/en-us
This posting is provided "AS IS" with no warranties.
-
Hallo Kevin,
mir gehen an dieser Stelle langsam die Ideen aus.
Oberflächlich betrachtet, sollte eigentlich alles passen. Dann bleibt nur noch ein Debug der CA.
http://support.microsoft.com/kb/305018/en-us
This posting is provided "AS IS" with no warranties.
-
Debuggen der CA brachte nichts.
Habe mal im Dialog der auf dem letzten Screenshot zu sehen ist "Informationen werden in der Anforderung angegeben" gewählt, und dann ein Request mit DNS und DN erstellt. Damit bekomme ich jetzt endlich ein Zertifikat - das ich auch importieren kann auf meinen DC. Allerdings stehe bei "ausgestellt für" nur der Rechnername und nicht der FQDN??
Kann mich weiterhin nicht mit LDAPS auf den Server verbinden..
-
Hallo,
nachdem ich meine Testumgebung wiederbelebt und das Thema einmal durchgespielt habe, konnte ich den Fehler nicht reproduzieren oder weitere Hinweise finden.
Ich habe ein LDAPS Zertifikat und die dazugehörige Vorlage als Dump beigefügt. Vielleicht helfen dir die Muster weiter.
---
Die ausgestellten Zertifikate für LDAPS weisen folgende Merkmale auf:
X.509-Zertifikat:
---
Version: 3
Seriennummer: 612b353700000000000a
Signaturalgorithmus:
Algorithmus Objekt-ID: 1.2.840.113549.1.1.5 sha1RSA
Algorithmusparameter:
05 00
Aussteller:
CN=corp-DC1-CA
DC=corp
DC=contoso
DC=com
Nicht vor: 12.03.2013 19:34
Nicht nach: 12.03.2015 19:34
Antragsteller:
CN=DC2.corp.contoso.com
Íffentlicher Schl³ssel-Algorithmus:
Algorithmus Objekt-ID: 1.2.840.113549.1.1.1 RSA (RSA_SIGN)
Algorithmusparameter:
05 00
Lõnge des ÷ffentlichen Schl³ssels: 2048 Bits
Íffentlicher Schl³ssel: Nicht verwendete Bits = 0
0000 30 82 01 0a 02 82 01 01 00 b9 46 18 6b 8f 28 19
0010 7a 0b ed be 8d 60 80 01 5b 32 31 97 e1 44 91 29
0020 5a 01 93 d9 d3 01 a4 bd a9 de da a5 e7 99 23 a2
0030 ed 92 f3 12 74 06 40 3b 78 ce b1 e6 72 96 20 f3
0040 34 0b d4 ee 87 c1 e0 40 45 55 c0 04 43 cf 0c 9c
0050 39 1b af 65 4a 11 bb 9c 16 a6 f2 5d 41 7a ee 35
0060 9d 51 e2 65 3c 8c 51 69 76 38 6a 0a 6d 4c 18 09
0070 8a 25 55 9d b6 83 4e 92 1c d6 1e b6 ae 6b 2f 69
0080 31 33 75 3d 8e 81 a5 3c de 17 5c 65 f0 94 6a 39
0090 02 e4 00 12 fe 1c 9a 73 64 5f ea cf 9a 6c 8f 3d
00a0 56 fe 4c af 05 d6 2c d7 ff 51 29 de f2 33 c4 ec
00b0 28 e1 77 20 1c 95 ab fb c0 4f 32 a2 c0 5a bd 2e
00c0 21 4d 22 29 aa cc 4a ef 98 34 77 ea 18 e6 ca 2d
00d0 09 a9 50 2f cc ce a0 17 ae 2c 68 16 ee c5 ca dc
00e0 9a 34 10 04 23 06 3f 8d 3e de f2 bb 7f d2 6d 3d
00f0 79 11 30 f7 c3 78 91 ef 54 83 29 97 68 e5 67 79
0100 5e b4 4d df 28 24 f5 9c b5 02 03 01 00 01
Zertifikaterweiterungen: 9
1.3.6.1.4.1.311.21.7: Kennzeichen = 0, Lõnge = 31
Zertifikatvorlageninformationen
Vorlage=LDAPS(1.3.6.1.4.1.311.21.8.4860783.3943589.12470706.3109382.9229270.224.14173502.3075546)
H÷here Versionsnummer=100
Niedrigere Versionsnummer=1
2.5.29.37: Kennzeichen = 0, Lõnge = 2b
Erweiterte Schl³sselverwendung
KDC-Authentifizierung (1.3.6.1.5.2.3.5)
Smartcard-Anmeldung (1.3.6.1.4.1.311.20.2.2)
Serverauthentifizierung (1.3.6.1.5.5.7.3.1)
Clientauthentifizierung (1.3.6.1.5.5.7.3.2)
2.5.29.15: Kennzeichen = 1(Kritisch), Lõnge = 4
Schl³sselverwendung
Digitale Signatur, Schl³sselverschl³sselung (a0)
1.3.6.1.4.1.311.21.10: Kennzeichen = 0, Lõnge = 33
Anwendungsrichtlinien
[1]Anwendungszertifikatrichtlinie:
Richtlinienkennung=KDC-Authentifizierung
[2]Anwendungszertifikatrichtlinie:
Richtlinienkennung=Smartcard-Anmeldung
[3]Anwendungszertifikatrichtlinie:
Richtlinienkennung=Serverauthentifizierung
[4]Anwendungszertifikatrichtlinie:
Richtlinienkennung=Clientauthentifizierung
2.5.29.14: Kennzeichen = 0, Lõnge = 16
Schl³sselkennung des Antragstellers
60 52 27 65 f2 3d 95 c2 a8 83 8b c3 a8 1e 75 1a 18 eb bd 66
2.5.29.35: Kennzeichen = 0, Lõnge = 18
Stellenschl³sselkennung
Schl³ssel-ID=bd bd 78 6f 9d 6a cb fc 5d d7 98 5a f2 7c 4a 94 0c 83 d3 4e
2.5.29.31: Kennzeichen = 0, Lõnge = f7
Sperrlisten-Verteilungspunkte
[1]Sperrlisten-Verteilungspunkt
Name des Verteilungspunktes:
Vollst. Name:
URL=ldap:///CN=corp-DC1-CA,CN=DC1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint
URL=http://crl.corp.contoso.com/crld/corp-DC1-CA.crl
1.3.6.1.5.5.7.1.1: Kennzeichen = 0, Lõnge = b8
Zugriff auf Stelleninformationen
[1]Stelleninformationszugriff
Zugriffsmethode=Zertifizierungsstellenaussteller (1.3.6.1.5.5.7.48.2)
Alternativer Name:
URL=ldap:///CN=corp-DC1-CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com?cACertificate?base?objectClass=certificationAuthority
2.5.29.17: Kennzeichen = 0, Lõnge = 57
Alternativer Antragstellername
Anderer Name:
Prinzipalname=DC2$@corp.contoso.com
DNS-Name=DC2.corp.contoso.com
DNS-Name=corp.contoso.com
DNS-Name=CORP
Signaturalgorithmus:
Algorithmus Objekt-ID: 1.2.840.113549.1.1.5 sha1RSA
Algorithmusparameter:
05 00
Signatur: Nicht verwendete Bits=0
0000 ae 48 c3 43 97 30 3c e3 3f 82 00 e6 b4 7a 38 ec
0010 ec 2d fe ce 1b 62 55 48 90 2a 4d 8f 83 2d 6d 59
0020 a7 bc 8e c8 b1 8e d2 52 46 40 29 64 96 18 5c 81
0030 3b f4 41 28 b0 b1 76 f3 94 7c 21 0d f4 c7 9f 30
0040 eb 9f bf 7d b7 68 8e af 36 59 da cd a5 4d 5c 8d
0050 98 c0 94 65 b2 86 8f ab 99 5f b0 08 b4 c5 6c 3b
0060 ae 5f 68 1b 6a 8c 82 5d 66 95 a9 af f9 05 16 f2
0070 e0 d5 5e c4 f6 d8 35 a3 ea bf 11 5b d0 c7 86 91
0080 69 de 7e e1 4e e5 48 2e 68 ba 4f d5 0c 2e 99 94
0090 ab 66 df c1 15 6d af 9c 69 94 3d 4e 11 8c 5a a6
00a0 d0 73 72 4d 14 28 65 36 0f c8 b2 ea a7 b1 70 4b
00b0 db ce ba 97 39 53 b6 8b 98 2c 16 72 13 81 e9 53
00c0 ad 55 5e b6 4a f2 c2 3a b3 fa 53 db 1a de de 8c
00d0 a6 9c 27 b0 87 6c 4f 57 25 ae d6 fd 8a ce 0b 42
00e0 12 9e f6 51 8b a0 81 0d 7c 35 39 3f cd 0c bb b1
00f0 da f1 1c 4f 9c 4f 15 a8 d0 6b 15 62 23 b1 09 84
Kein Stammzertifikat
Schl³ssel-ID-Hash(rfc-sha1): 60 52 27 65 f2 3d 95 c2 a8 83 8b c3 a8 1e 75 1a 18 eb bd 66
Schl³ssel-ID-Hash(sha1): b5 f6 9d e1 82 4a 34 89 a1 bc c3 9a c8 3f 6c f7 98 e0 aa c7
Zertifikathash(md5): 1f 1c dc 0f d1 03 7a 52 c4 fa aa 13 9f 81 bf d5
Zertifikathash(sha1): 8a ac 91 2e 2f a8 3d 23 28 d1 66 98 8f cf d3 9e 40 96 28 0c
CertUtil: -dump-Befehl wurde erfolgreich ausgef³hrt.
Die Vorlage dazu sieht so aus:
Name: Active Directory-Registrierungsrichtlinie ID: {06667064-9A3C-4FA7-B79F-4BE08C71955E} URL: ldap: 34 Vorlagen: Vorlage[17]: TemplatePropCommonName = LDAPS TemplatePropFriendlyName = LDAPS TemplatePropEKUs = 4 Objekt-IDs: 1.3.6.1.5.2.3.5 KDC-Authentifizierung 1.3.6.1.4.1.311.20.2.2 Smartcard-Anmeldung 1.3.6.1.5.5.7.3.1 Serverauthentifizierung 1.3.6.1.5.5.7.3.2 Clientauthentifizierung TemplatePropCryptoProviders = 0: Microsoft RSA SChannel Cryptographic Provider TemplatePropMajorRevision = 64 (100) TemplatePropDescription = Computer TemplatePropSchemaVersion = 2 TemplatePropMinorRevision = 1 TemplatePropRASignatureCount = 0 TemplatePropMinimumKeySize = 800 (2048) TemplatePropOID = 1.3.6.1.4.1.311.21.8.4860783.3943589.12470706.3109382.9229270.224.14173502.3075546 LDAPS TemplatePropV1ApplicationPolicy = 4 Objekt-IDs: 1.3.6.1.5.2.3.5 KDC-Authentifizierung 1.3.6.1.4.1.311.20.2.2 Smartcard-Anmeldung 1.3.6.1.5.5.7.3.1 Serverauthentifizierung 1.3.6.1.5.5.7.3.2 Clientauthentifizierung TemplatePropEnrollmentFlags = 38 (56) CT_FLAG_PUBLISH_TO_DS -- 8 CT_FLAG_AUTO_ENROLLMENT_CHECK_USER_DS_CERTIFICATE -- 10 (16) CT_FLAG_AUTO_ENROLLMENT -- 20 (32) TemplatePropSubjectNameFlags = 18c00000 (415236096) CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS -- 400000 (4194304) CT_FLAG_SUBJECT_ALT_REQUIRE_SPN -- 800000 (8388608) CT_FLAG_SUBJECT_ALT_REQUIRE_DNS -- 8000000 (134217728) CT_FLAG_SUBJECT_REQUIRE_DNS_AS_CN -- 10000000 (268435456) TemplatePropPrivateKeyFlags = 10 (16) CT_FLAG_EXPORTABLE_KEY -- 10 (16) TemplatePropGeneralFlags = 20060 (131168) CT_FLAG_AUTO_ENROLLMENT -- 20 (32) CT_FLAG_MACHINE_TYPE -- 40 (64) CT_FLAG_IS_MODIFIED -- 20000 (131072) TemplatePropSecurityDescriptor = O:S-1-5-21-1349855088-662425208-3358439952-1109G:EAD:PAI(OA;;RPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;RO)(OA;;RPCR;a05b8cc2-17bc-4802-a710-e7c15ab866a2;;RO)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;DA)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;DD)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;EA)(OA;;RPWPCR;a05b8cc2-17bc-4802-a710-e7c15ab866a2;;DD)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;ED)(OA;;RPWPCR;a05b8cc2-17bc-4802-a710-e7c15ab866a2;;ED)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;DA)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;EA)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-1349855088-662425208-3358439952-1109)(A;;LCRPLORC;;;AU) Zulassen Registrieren CORP\Schreibgesch³tzte Domõnencontroller der Organisation Zulassen Automatische Registrierung CORP\Schreibgesch³tzte Domõnencontroller der Organisation Zulassen Registrieren CORP\Domõnen-Admins Zulassen Registrieren CORP\Domõnencontroller Zulassen Registrieren CORP\Organisations-Admins Zulassen Automatische Registrierung CORP\Domõnencontroller Zulassen Registrieren NT-AUTORIT─T\DOM─NENCONTROLLER DER ORGANISATION Zulassen Automatische Registrierung NT-AUTORIT─T\DOM─NENCONTROLLER DER ORGANISATION Zulassen Vollzugriff CORP\Domõnen-Admins Zulassen Vollzugriff CORP\Organisations-Admins Zulassen Vollzugriff CORP\User1 Zulassen Lesen NT-AUTORIT─T\Authentifizierte Benutzer TemplatePropExtensions = 4 Erweiterungen: Erweiterung[0]: 1.3.6.1.4.1.311.21.7: Kennzeichen = 0, Lõnge = 31 Zertifikatvorlageninformationen Vorlage=LDAPS(1.3.6.1.4.1.311.21.8.4860783.3943589.12470706.3109382.9229270.224.14173502.3075546) H÷here Versionsnummer=100 Niedrigere Versionsnummer=1 Erweiterung[1]: 2.5.29.37: Kennzeichen = 0, Lõnge = 2b Erweiterte Schl³sselverwendung KDC-Authentifizierung (1.3.6.1.5.2.3.5) Smartcard-Anmeldung (1.3.6.1.4.1.311.20.2.2) Serverauthentifizierung (1.3.6.1.5.5.7.3.1) Clientauthentifizierung (1.3.6.1.5.5.7.3.2) Erweiterung[2]: 2.5.29.15: Kennzeichen = 1(Kritisch), Lõnge = 4 Schl³sselverwendung Digitale Signatur, Schl³sselverschl³sselung (a0) Erweiterung[3]: 1.3.6.1.4.1.311.21.10: Kennzeichen = 0, Lõnge = 33 Anwendungsrichtlinien [1]Anwendungszertifikatrichtlinie: Richtlinienkennung=KDC-Authentifizierung [2]Anwendungszertifikatrichtlinie: Richtlinienkennung=Smartcard-Anmeldung [3]Anwendungszertifikatrichtlinie: Richtlinienkennung=Serverauthentifizierung [4]Anwendungszertifikatrichtlinie: Richtlinienkennung=Clientauthentifizierung TemplatePropValidityPeriod = 2 Years TemplatePropRenewalPeriod = 6 Weeks CertUtil: -Template-Befehl wurde erfolgreich ausgef³hrt.
This posting is provided "AS IS" with no warranties.
-
Hat sich erledigt - funktioniert wieder.
Das bisherige Zertifikat stammte noch aus einer 2003er PKI und wurde nach Ablauf durch ein Domaincontroller Zertifikat im Computerkonto ersetzt, das wurde allerdings nicht gleich verwendet. Mittlerweile funktioniert wieder alles, ohne dass etwas geändert wurde.
- Als Antwort markiert Kevin Meister Donnerstag, 4. April 2013 07:21