我最近设置了一个新的 Windows 2012 R2 Enterprise SHA2 颁发 CA 来替换旧的 Windows 2008 R2 SHA1 颁发 CA。这也安装了 Web 注册,供公众访问,因此所有 DNS 记录都可以通过 Web 与受信任的证书联系。除了测试申请证书的最后阶段之外,一切似乎都很顺利。提交申请表后,会显示以下错误:
请求模式:newreq - 新请求
处置:(从未设置)
处置消息:(无)
结果:帐户名称和安全 ID 之间没有映射。0x80070534 (WIN32: 1332 ERROR_NONE_MAPPED)
COM 错误信息:CCertRequest::Submit:帐户名称和安全 ID 之间没有映射。0x80070534 (WIN32: 1332 ERROR_NONE_MAPPED)
LastStatus:帐户名称和安全 ID 之间没有映射。0x80070534 (WIN32: 1332 ERROR_NONE_MAPPED)
建议的原因:没有建议。
最后一部分是我最喜欢和最有帮助的......!
到目前为止调查此错误表明这是由于在 IIS 内的 certsrv 站点上启用了匿名身份验证,但这是一个面向公众的 CA,并且不希望客户端受到挑战/提示输入凭据,因为他们没有任何首先使用。此外,以前的 SHA1 CA 只启用了匿名身份验证,并且没有出现任何挑战,所以看不出为什么这个有任何不同。
有任何想法吗?
this is a public facing CA and don't want clients to be challenged/prompted for credentials as they won't have any.我相信独立 CA 会更合适。
企业证书颁发机构在证书注册期间强制对用户进行凭据检查。每个证书模板在 Active Directory 中都有一个安全权限集,用于确定证书请求者是否有权接收他们所请求的证书类型。
通过向所有人授予权限,并设置 Windows 安全选项“网络访问:让所有人权限适用于匿名用户”,或许可以将方钉放在圆孔中,但那将是非正统的。