双方向のフォレスト信頼を持つ 2 つの AD ドメインがあります。DomainB のコンピューター アカウントが、DomainA の 2 層 Windows CA からのコンピューター クライアント認証証明書を登録するようにします。このために、発行 CA で証明書テンプレートを構成し、DomainB のコンピューターに読み取り権限と登録権限を付与しました。
Microsoftの規定に従って、ドメインAの発行CAを証明書登録ポリシーWebサービスと証明書登録Webサービス用に構成しました。ドキュメンテーションCEP と CES は、SPN を持つドメイン サービス アカウントを使用して Kerberos 認証を使用し、HOST と RPCSS の Kerberos 委任用に構成されています。サービス アカウントは IISUsers グループのメンバーであり、発行 CA に対する証明書の要求権限を持っています。
テストのために、DomainB Win10 コンピューターで Cert Manager を使用して、CEP URI を使用した登録ポリシーを手動で構成しようとしましたが、次のエラーが発生します。リモートエンドポイントによってアクセスが拒否されましたただし、サービス アカウントの HOST と RPCSS の SPN と Kerberos 委任を削除すると、正常に完了します。CES サービス アカウントには Kerberos 委任が構成されている必要がありますか?
その後、DomainBのコンピュータに新しい証明書を要求しようとすると、発行CAは表示されますが、証明書の種類は利用できませんコンピュータに読み取り権限と登録権限があるにもかかわらず、ログには証明書テンプレートが表示できること以外何も表示されません。
ここで何が間違っているのか、何かアイデアはありますか? これは Kerberos 認証を使用すれば機能するはずですよね?
答え1
ようやく解決できました。将来他の人の役に立つように、ここで解決策を記載します。
機能する構成は、アプリケーション プール ID (SPN と Kerberos 委任を持つ AD サービス アカウントではない) を使用して CA に CES と CEP をインストールすることです。CES と CEP は CA にインストールされているため、ここでは必要ありません。役割が別のサーバーにある場合は、おそらく必要になります。CES と CEP は両方とも Kerberos 認証を使用するように構成されています。この構成により、DomainB のコンピューターは CEP URI を検証して使用できます。
これを設定すると、DomainB のコンピューターは CEP に接続してテンプレートを表示できるようになりましたが、DS 紹介エラーが発生しました。0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED) サーバーから紹介が返されました。0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL)CAでLDAP参照サポートを有効にするには、certutil -setreg ポリシー\EditFlags +EDITF_ENABLELDAPREFERRALS次に、CA サービスを再起動し、IISRESET を実行します。