Valaki tud segíteni, hogy épp most hogy kell kiállítani egy nyavalyás, valid web certet az IIS-nek egy certificate authority-val windows-on? (2022-es DC-n van a Cert Authority, 2019 az IIS)
Szóval vagy nem valid a cert, mert elvileg hiányzik a SAN attribútum, vagy self-signed-et csinál. Próbálkoztam az IIS adminba kattingatni, powershell-ben, meg már azt is, hogy a csr-t magamnál generálom openssl-lel. A webes certsrv az RDS Web Cert-tel szintén nem jó, a sima Web Servert nem tudom bevarázsolni oda, de már azt is széthekkeltem (igazából azt se tudom mi a különbség a kettő között, ha van). A certificate authority-nál a CSR-t beküldve hibát fosik, mert azt mondja nem tartalmaz template információt...
Napok óta ezzel szopok. Az agyament idóta windows-os logika megspékelve azzal, hogy az IIS egy RDP szerver, és hát "Jajj szegény user!" felkiáltással magyar a windows (nem én telepítettem)... Minden alkalommal mikor meglátok egy "Kötések" vagy hasonló szakzsargont, elkap a rángás meg az agyérgörcs.
Hozzászólások
1. DC-n a Cert Authorty Server: NEM JAVASOLT ilyen kombináció. Kissé megnehezít egy DC uninstallt!
2. Javasolt manuális metódus: Certificate Manager MMC concol (certlm.msc).
3. Ha parancssorból akarod akkor bizony kell a template neve (és nem a Display neve!), amit a Certificate Authority menedzsment konzolban kezelsz, és vagy a requestbe teszed bele, vagy a certreq opcióval:
certreq -submit -attrib "certificatetemplate:CERTTEMPLATENAME" filename
Jalos
1. Köszi, de sose uninstallaltam még DC-t az elmúlt 20-25 évben... Amikor lesz újabb helyette, akkor a régi demote és kuka. Az ajánlásokról meg annyit, hogy a microsoft szerint egy sima RDS-hez is 5-6 szerver kéne alapból...
2. Erről írnál bővebben?
"Sose a gép a hülye."
1. Ezek szerint DE, uninstalláltál = Demote. Nem fog menni csak ha leszeded előtte a CA-t (lehet menteni, és uninstall után restore esetleg).
2. certlm.msc. Personal: request new certificate. Select AD policy server, select cert template (ha nincs, akkor a gép accountnak nincs read/enroll joga). CN, SAN kitöltése, enroll. Voila.
Jalos
Csúcs, köszi szépen!
https://imgur.com/oy4C8Pm
[szerk]
Illetve magam és mások miatt is: még EZ előtt, hogy legyen Web Server Template elérhető (csak ezt már elfelejtettem, mert korábban csináltam).
Certificate Templates konzolban (Certificate Authoriry -> CA -> Certificate Template, jobb gomb, Manage)
Web Server template jobb gomb, Duplicate. Adni kell neki nevet, lehet módosítani a lejáratot, stb. Ami a lényeg, Security fülön hozzá kell adni a Computer Object-et, illetve adni kell neki Enroll és Autoenroll jogosultságot, hogy tudjon certet kiállítani. (Ha nincs autoenroll, akkor manuálisan kell jóváhagyni a CA oldalon a tanúsítvány kérelmét).
"Sose a gép a hülye."
Remek.
1. Annyi még: az új Windowsokon már lehet custom CN,SAN certeket is autorenew-sra késziteni, ha a cert templateben beállítod. És csak egyszer kell megcsinálni az IIS Windows Serveren, menni fog az autó renew, még custom CN,SAN mellett is!
(persze ha engedélyezve van az autoenroll/renew a ADCS Clienten local/AD GPO-ból)
2. Az autoenroll jog NEM azt jelenti hogy ennek hiányában manuálisankell jóváhagyni, hanem hogy ennek hiányában manuálisan kell igényelni a certet. Autoenrollal a cert igénylése tud automatikus lenni, feltéve hogy a CN ismert adatokból dolgozik (pl. computer DFNS neve az ADból), de WEB sezrver tanúsítványoknál custom CN, SAN mellet ez nem történhet meg.
A Cert request approvalhoz másik beállítás tartozik a certificate templaten.
Jalos
Idézd be ezt a template-es hibaüzenetet, hátha segít (kivéve, ha magyarul van, mert akkor használhatatlan).
"kivéve, ha magyarul van, mert akkor használhatatlan"
ROTFL :-D De nagyon igaz :-D
https://imgur.com/oFCGhVO
"Sose a gép a hülye."
Előjönnek az emlékek 17 évvel ezelőttről, mikor microsoft pki-vel kezdtem el először foglalkozni.
Hmmm... Akarsz róla beszélni...? :-D
Nem nagyon, PTSD-szerűek az emlékek. Bár sokat tanultam PKI-ról azokban az években, amíg aktívan foglalkoztam ezzel.
Mindegyik CA szoftvernek megvannak a maga problémái. Tény, hogy a MS picit "érdekesen" értelmezi a PKI-t, főképp enterprise CA esetén.
Az a nagyon gyászos h. windows server 2008 óta nincs hivatalos könyv PKI-ről mikroszoft színekben.
Mert nem igazán értenek hozzá ők maguk se.
Konkrétan amikor próbáltam kideríteni, hogy egy AD-ben (domain és forest is) hány enterprise CA lehet, akkor nem kaptam rá magyarázatot, hogy miért 1. MS-nél el se tudják szerintem képzelni, hogy mi szükség lenne több enterprise CA-ra egy összetett AD környezetben.
Letesztelni ezt a felépítést még nem volt kedvem/időm, de lehet, hogy most nyáron kipróbálom.
Lehet akármennyi Enterprise CA. Nem is értem ebben miért lenne limitáció. Mintha domain controllerből csak 1 db lehetne a domainben. Semmi értelme nincs.
Nem tudom ez mikori infó, de az biztos, hogy én most egy újat csináltam az egyik DC-re, mert nem akartam a meglévőt (amivel a DC-k certjei is ki vannak állítva) ilyen webes vackokra használni.
"Sose a gép a hülye."
hat 10 eve tenyleg nem lehetett tobb, csinaltunk egy forest egyik agan egy ca-t exchange-hez (mandatory volt) es onnantol senki mas se tudott ca-t csinalni, mindenki a mienket/minket basztatta vele ha cert kellett