我使用 certreq 命令公用程式 ( certreq -new) 從 .inf 檔案產生 csr,然後使用 .inf 檔案將其傳送到中間 CA 進行簽署certreq -submit。
由於某種原因,「常規」標籤下的「發佈給」欄位和詳細資料標籤下的「主題」欄位包含我的網域使用者名,而不是電腦 FQDN(在 .inf 的主題行中指定)。
我這樣做是為了用我們的 CA 簽署的憑證替換電腦上的自簽名 RDP 憑證。我知道這可以使用 GPO 和建立 RDP 模板來完成,但出於測試目的,我需要確保它首先在此伺服器上運行並使用這些命令。
伺服器作業系統是Windows Server 2016 Standard。我正在從提升的 PowerShell 控制台運行命令。
以下是我引用的 .inf 檔案以及我正在使用的命令。我很感激對此的任何見解!
請求.inf:
[Version] Signature="$Windows NT$"
[NewRequest]
Subject = "C=US, ST=Florida, L=Orlando, O=Disney World, CN=RDPSSL-TEST.Disney.com"
KeySpec = 1
KeyLength = 2048
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = "CERT_DIGITAL_SIGNATURE_KEY_USAGE | CERT_KEY_ENCIPHERMENT_KEY_USAGE"
HashAlgorithm = SHA256
[EnhancedKeyUsageExtension]
OID=1.3.6.1.4.1.311.54.1.2 ; this is for Remote Desktop Authentication
[RequestAttributes]
CertificateTemplate= DisneyRemoteDesktop
命令:
certreq -new request.inf cert.req
certreq -submit cert.req certnew.cer certnew.pfx
答案1
這是因為您的範本配置為從 Active Directory 建置主題。由於您手動向 CA 提交請求,因此您在 CSR 提交期間會在 CA 上進行身份驗證,並且 CA 將從您的使用者帳戶中查找主題資訊。您需要變更憑證範本屬性中的主題來源。對於製作,您必須將主題來源切換回 AD 來源。