양방향 포리스트 신뢰를 사용하는 두 개의 AD 도메인이 있습니다. DomainB의 컴퓨터 계정이 DomainA의 2계층 Windows CA에서 컴퓨터 클라이언트 인증 인증서를 등록하도록 하려고 합니다. 이를 위해 발급 CA에서 인증서 인증서 템플릿을 구성하고 DomainB의 컴퓨터에 읽기 및 등록 권한을 부여했습니다.
Microsoft 지침에 따라 인증서 등록 정책 웹 서비스 및 인증서 등록 웹 서비스에 대해 DomainA에서 발급 CA를 구성했습니다.선적 서류 비치. CEP 및 CES는 SPN이 있는 도메인 서비스 계정을 사용하고 HOST 및 RPCSS에 대한 Kerberos 위임을 위해 구성된 Kerberos 인증을 사용합니다. 서비스 계정은 IISUsers 그룹의 구성원이며 발급 CA에 대한 인증서 요청 권한을 가지고 있습니다.
테스트하기 위해 DomainB Win10 컴퓨터에서 Cert Manager를 사용하여 CEP URI를 사용하여 등록 정책을 수동으로 구성했지만 "원격 끝점에서 액세스가 거부되었습니다.". 하지만 서비스 계정에서 HOST 및 RPCSS에 대한 SPN 및 Kerberos 위임을 제거하면 제대로 완료됩니다. CES 서비스 계정에는 Kerberos 위임이 구성되어 있어야겠죠?
그런 다음 DomainB의 컴퓨터에 대한 새 인증서를 요청하려고 하면 발급 CA를 볼 수 있지만 다음과 같이 표시됩니다.인증서 유형을 사용할 수 없습니다.컴퓨터에 읽기 및 등록 권한이 있더라도 마찬가지입니다. 로깅에서는 인증서 템플릿을 볼 수 있다는 것 외에는 아무 것도 알려주지 않습니다.
내가 여기서 뭘 잘못하고 있는지 어떤 아이디어가 있습니까? Kerberos 인증을 사용하면 작동합니다. 그렇죠?
답변1
나는 마침내 그것을 알아 냈습니다. 앞으로 다른 사람들을 돕기 위해 여기에 솔루션을 나열하고 있습니다.
작동하는 구성은 앱 풀 ID(SPN 및 Kerberos 위임이 포함된 AD 서비스 계정 아님)를 사용하여 CA에 CES 및 CEP를 설치하는 것입니다. CES 및 CEP가 CA에 설치되어 있으므로 여기서는 필요하지 않습니다. 아마도 역할이 별도의 서버에 있었다면 그럴 것입니다. CES와 CEP는 모두 Kerberos 인증을 사용하도록 구성되어 있습니다. 이 구성을 사용하면 DomainB의 컴퓨터가 CEP URI의 유효성을 검사하고 사용할 수 있습니다.
이를 구성하면 DomainB의 컴퓨터가 CEP에 연결하여 템플릿을 볼 수 있지만 DS 추천 오류가 발생했습니다.0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED) 서버에서 추천이 반환되었습니다. 0x8007202b(WIN32: 8235 ERROR_DS_REFERRAL). 다음을 사용하여 CA에서 LDAP 추천 지원을 활성화합니다.certutil -setreg 정책\EditFlags +EDITF_ENABLELDAPREFERRALS그런 다음 CA 서비스를 다시 시작하고 IISRESET을 실행하십시오.