Ich habe zwei AD-Domänen mit einer bidirektionalen Gesamtstrukturvertrauensstellung. Ich möchte, dass sich Computerkonten in Domäne B für Computer-Clientauthentifizierungszertifikate der zweistufigen Windows-Zertifizierungsstelle in Domäne A registrieren. Ich habe hierfür eine Zertifikatsvorlage in der ausstellenden Zertifizierungsstelle konfiguriert und dem Computer in Domäne B Lese- und Registrierungsrechte erteilt.
Ich habe die ausstellende Zertifizierungsstelle in DomäneA für den Certificate Enrollment Policy Web Service und den Certificate Enrollment Web Service gemäß den MicrosoftDokumentation. CEP und CES verwenden Kerberos-Authentifizierung unter Verwendung eines Domänendienstkontos mit einem SPN und sind für die Kerberos-Delegierung für HOST und RPCSS konfiguriert. Das Dienstkonto ist Mitglied der Gruppe „IISUsers“ und verfügt über Rechte zum Anfordern von Zertifikaten bei der ausstellenden Zertifizierungsstelle.
Zum Testen verwende ich Cert Manager auf einem Win10-Computer der Domäne B, um manuell eine Registrierungsrichtlinie mithilfe der CEP-URI zu konfigurieren, erhalte jedoch den Fehler „Der Zugriff wurde vom Remote-Endpunkt verweigert". Es wird jedoch ordnungsgemäß abgeschlossen, wenn ich die SPN- und Kerberos-Delegierung für HOST und RPCSS auf dem Dienstkonto entferne. Für das CES-Dienstkonto sollte die Kerberos-Delegierung konfiguriert sein, oder?
Wenn ich dann versuche, ein neues Zertifikat für den Computer in Domäne B anzufordern, kann ich die ausstellende Zertifizierungsstelle sehen, aber es heißtZertifikatstypen sind nicht verfügbarobwohl der Computer über Lese- und Registrierungsrechte verfügt. Die Protokollierung sagt mir nichts, außer dass er die Zertifikatsvorlage sehen kann.
Irgendwelche Ideen, was ich hier falsch mache? Das sollte mit Kerberos-Authentifizierung funktionieren, oder?
Antwort1
Ich habe es endlich herausgefunden. Ich liste die Lösung hier auf, um anderen in Zukunft zu helfen.
Die Konfiguration, die funktioniert, besteht darin, CES und CEP auf der Zertifizierungsstelle unter Verwendung der App-Pool-Identität zu installieren (kein AD-Dienstkonto mit SPN und Kerberos-Delegierung). Dies ist hier nicht erforderlich, da CES und CEP auf der Zertifizierungsstelle installiert sind. Dies wäre wahrscheinlich erforderlich, wenn sich die Rollen auf separaten Servern befänden. CES und CEP sind beide für die Verwendung der Kerberos-Authentifizierung konfiguriert. Diese Konfiguration ermöglicht es Computern in Domäne B, die CEP-URI zu validieren und zu verwenden.
Nachdem ich das konfiguriert hatte, konnten sich Computer in Domäne B mit dem CEP verbinden und die Vorlage sehen, erhielten aber einen DS-Referral-Fehler --0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED) Vom Server wurde eine Empfehlung zurückgegeben. 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL). Aktivieren Sie die LDAP-Weiterleitungsunterstützung auf der Zertifizierungsstelle mitcertutil -setreg Policy\EditFlags +EDITF_ENABLELDAPREFERRALSStarten Sie dann den CA-Dienst neu und führen Sie IISRESET aus.