Tengo dos dominios AD con una confianza forestal bidireccional. Quiero que las cuentas de computadora en el DominioB se inscriban para obtener certificados de autenticación de cliente de computadora de la CA de Windows de dos niveles en el DominioA. Configuré una plantilla de certificado en la CA emisora para esto y otorgué derechos de lectura e inscripción a la computadora en DomainB.
Configuré la CA emisora en el DominioA para el Servicio web de política de inscripción de certificados y el Servicio web de inscripción de certificados de acuerdo con Microsoftdocumentación. CEP y CES utilizan la autenticación Kerberos mediante una cuenta de servicio de dominio con un SPN y configurada para la delegación de Kerberos para HOST y RPCSS. La cuenta de servicio es miembro del grupo IISUsers y tiene derechos de Solicitud de certificados en la CA emisora.
Para probar, estoy usando Cert Manager en una computadora DomainB Win10 para configurar manualmente una política de inscripción usando el CEP URI, pero aparece el error: "El punto final remoto denegó el acceso". Sin embargo, se completa correctamente si elimino el SPN y la delegación de Kerberos para HOST y RPCSS en la cuenta de servicio. La cuenta de servicio de CES debería tener configurada la delegación de Kerberos, ¿verdad?
Si luego intento solicitar un nuevo certificado para la computadora en el DominioB, puedo ver la CA emisora pero diceLos tipos de certificado no están disponiblesaunque la computadora tenga derechos de lectura e inscripción. El registro no me dice nada, aparte de que puede ver la plantilla del certificado.
¿Alguna idea de lo que estoy haciendo mal aquí? Esto debería funcionar usando la autenticación Kerberos, ¿verdad?
Respuesta1
Finalmente lo entendí. Estoy enumerando la solución aquí para ayudar a otros en el futuro.
La configuración que funciona es instalar CES y CEP en la CA utilizando la identidad del grupo de aplicaciones (no una cuenta de servicio AD con SPN y delegación de Kerberos). No es necesario aquí porque CES y CEP están instalados en la CA. Probablemente lo sería si los roles estuvieran en servidores separados. Tanto CES como CEP están configurados para utilizar la autenticación Kerberos. Esta configuración permite que las computadoras en DomainB validen y usen el CEP URI.
Una vez que lo configuré, las computadoras en el Dominio B pudieron conectarse al CEP y ver la plantilla, pero recibieron un error de referencia de DS:0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED) Se devolvió una referencia del servidor. 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL). Habilite el soporte de referencia LDAP en la CA concertutil -setreg Política\EditFlags +EDITF_ENABLELDAPREFERRALSluego reinicie el servicio CA y ejecute IISRESET.