Я использовал командную утилиту certreq ( certreq -new
) для создания csr из файла .inf, который я отправил в промежуточный центр сертификации для подписи с использованием certreq -submit
.
По какой-то причине в поле «Кому выдано» на вкладке «Общие» и в поле «Тема» на вкладке «Сведения» указано мое доменное имя пользователя вместо полного доменного имени компьютера (указанного в строке темы в INF-файле).
Я делаю это, чтобы заменить самоподписанный сертификат RDP на машине сертификатом, подписанным нашим CA. Я понимаю, что это можно сделать с помощью GPO и создания шаблона RDP, но для целей тестирования мне нужно сначала убедиться, что он работает на этом сервере, и использовать эти команды.
Серверная ОС — Windows Server 2016 Standard. Я запускаю команды из консоли PowerShell с повышенными правами.
Ниже приведен файл .inf, на который я ссылаюсь, а также команды, которые я использую. Я буду признателен за любую информацию по этому поводу!
запрос.inf:
[Version] Signature="$Windows NT$"
[NewRequest]
Subject = "C=US, ST=Florida, L=Orlando, O=Disney World, CN=RDPSSL-TEST.Disney.com"
KeySpec = 1
KeyLength = 2048
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = "CERT_DIGITAL_SIGNATURE_KEY_USAGE | CERT_KEY_ENCIPHERMENT_KEY_USAGE"
HashAlgorithm = SHA256
[EnhancedKeyUsageExtension]
OID=1.3.6.1.4.1.311.54.1.2 ; this is for Remote Desktop Authentication
[RequestAttributes]
CertificateTemplate= DisneyRemoteDesktop
Команды:
certreq -new request.inf cert.req
certreq -submit cert.req certnew.cer certnew.pfx
решение1
Это связано с тем, что ваш шаблон настроен на создание субъекта из Active Directory. Поскольку вы отправляете запрос в CA вручную, вы проходите аутентификацию в CA во время отправки CSR, и CA найдет информацию о субъекте из вашей учетной записи пользователя. Вам необходимо изменить источник субъекта в свойствах шаблона сертификата. Для производства вам придется переключить источник субъекта обратно на источник AD.