none
ошибка при создании сертификата пользователя ( вопрос по центрам сертификации) RRS feed

  • Вопрос

  • День Добрый!

    Стенд:
    rootca, policyca, issueca

    К issueca применена политика:

    [NameConstraintsExtension]
    Include = NameConstraintsPermitted
    Critical = True

    [NameConstraintsPermitted]
    UPN=.test.ru
    UPN=@test.ru

    Таким образом в сертификате issueCA находится поле Name Constraints:
    Permitted
         [1]Subtrees (0..Max):
              Other Name:
                   Principal Name=.test.ru
         [2]Subtrees (0..Max):
              Other Name:
                   Principal Name=@test.ru
         [3]Subtrees (0..Max):
              RFC822 Name=
         [4]Subtrees (0..Max):
              DNS Name=
         [5]Subtrees (0..Max):
              Directory Address
         [6]Subtrees (0..Max):
              URL=
         [7]Subtrees (0..Max):
              IP Address=
    Excluded=None

    Пытаюсь выписать сертификат по шаблону enrollmentagent пользователю Administrator@test.ru

    Выдает ошибку:
    Certificate Services denied request 11 because The certificate has an invalid name. The name is not included in the permitted list or is explicitly excluded. 0x800b0114 (-2146762476).  The request was for CN=Administrator, CN=Users, DC=test, DC=ru.  Additional information: Error Constructing or Publishing Certificate  Excluded [1] Subtrees Constraint for <Other Name:Principal Name=Administrator@test.ru>
    Очередной вопрос по [NameConstraintsExtension]

    Соответственно вопрос:
    разве UPN=@test.ru не подразумевает подмножество всех имен в домене ?
    не могли бы подсказать причину возникновения данной ошибки?

    И еще вопрос: просмотреть запрос на сертификат можно путем его экспорта на сертификате (или на failed request) -> export data -> export binary data -> binary request -> save binary data to a file -> и открываем запрос через certutil ? Я правильно понимаю ?

    Заранее благодарен за ответы!!!!

    17 сентября 2009 г. 7:02