У меня есть два домена AD с двусторонним доверием леса. Я хочу, чтобы учетные записи компьютеров в DomainB регистрировались для получения сертификатов аутентификации клиента компьютера из двухуровневого центра сертификации Windows в DomainA. Я настроил шаблон сертификата в выдающем центре сертификации для этого и предоставил права Read и Enroll компьютеру в DomainB.
Я настроил выдающий центр сертификации в домене DomainA для веб-службы политики регистрации сертификатов и веб-службы регистрации сертификатов в соответствии с Microsoftдокументация. CEP и CES используют аутентификацию Kerberos с использованием учетной записи службы домена с SPN и настроены для делегирования Kerberos для HOST и RPCSS. Учетная запись службы является членом группы IISUsers и имеет права Request Certificates на выдающем CA.
Для проверки я использую Cert Manager на компьютере DomainB Win10, чтобы вручную настроить политику регистрации с помощью CEP URI, но получаю ошибку: «Доступ был запрещен удаленной конечной точкой". Однако он завершается правильно, если я удаляю SPN и делегирование Kerberos для HOST и RPCSS в учетной записи службы. У учетной записи службы CES должно быть настроено делегирование Kerberos, верно?
Если я затем попытаюсь запросить новый сертификат для компьютера в домене B, я увижу выдавший его центр сертификации, но он говорит:Типы сертификатов недоступныхотя у компьютера есть права на чтение и регистрацию. Логирование ничего мне не говорит, кроме того, что он может видеть шаблон сертификата.
Есть идеи, что я делаю не так? Это должно работать с использованием аутентификации Kerberos, верно?
решение1
Я наконец-то разобрался. Я перечисляю решение здесь, чтобы помочь другим в будущем.
Конфигурация, которая работает, заключается в установке CES и CEP на CA с использованием удостоверения пула приложений (а не учетной записи службы AD с SPN и делегированием Kerberos). Здесь это не нужно, поскольку CES и CEP установлены на CA. Вероятно, это было бы так, если бы роли были на отдельных серверах. CES и CEP оба настроены на использование аутентификации Kerberos. Эта конфигурация позволяет компьютерам в DomainB проверять и использовать URI CEP.
После того, как я это настроил, компьютеры в домене B смогли подключиться к CEP и увидеть шаблон, но получили ошибку DS Referral —0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED) С сервера возвращена ссылка. 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL). Включите поддержку LDAP-рефералов в CA с помощьюcertutil -setreg Политика\ИзменитьФлаги +EDITF_ENABLELDAPREFERRALSзатем перезапустите службу CA и запустите IISRESET.