Microsoft-Active Directory-Zertifikatdienste

[dtbsys]

Ein über die Exchange Management-Shell erstellte Anforderungsdatei für ein Zertifikat lässt sich über die Zertifizierungsstelle nicht signieren.

Folgende Quelltext habe ich im Shell verwendet:
New-ExchangeCertificate
-GenerateRequest
-SubjectName "c=DE, o=TEST, cn=test.dyndns.org"
-IncludeAcceptedDomains
-privatekeyexportable $true
-Path c:\test.req

Ganz gleich welchen Inhalt, welche Parameter ich hier verwende, der folgende Fehler ist immer der gleiche.

Den Inhalt der "test.req" möchte ich dann unter "https://SERVERNAME/CERTSRV“ einfügen: [Ein neues Zertifikat anfordern]-[Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein.]

Nach dem Bestätigen bekomme ich folgende Fehlermeldung:


Fehler bei der Anforderung. Beim Verarbeiten der Anforderung ist ein Fehler aufgetreten.

Weitere Hilfe erhalten Sie vom Administrator.

Anforderungsmodus: newreq - Neue Anforderung
Disposition: (nie gesetzt)
Dispositionsmeldung: (kein)
Ergebnis: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. 0x8007054b (WIN32: 1355)
COM-Fehlerinformationen: CCertRequest::Submit: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. 0x8007054b (WIN32: 1355)
Letzter Status: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. 0x8007054b (WIN32: 1355)
Mögliche Ursache: Keine Vorschläge.



Kann mir jemand weiterhelfen ?

[olc]

Hallo und willkommen hier im Board,

• Lassen sich andere Zertifikate / Zertifikatanforderungen problemlos ausstellen (über Webenrollment)?
• Was passiert, wenn Du als Antragsteller den Hostnamen bzw. FQDN der Maschine angibst?
• Sind die Leerzeichen im Subject Name auch in Deinem Request so oder war dies nur ein Fehler beim Schreiben hier?
• Ist es möglich mittels certreq.exe ein entsprechendes Zertifikat zu beantragen?

Viele Grüße
olc

[dtbsys]

Wenn ich certreq.exe ausführe bekomme ich folgende Fehlermeldung.
Ja es sind Leerzeichen vorhanden, ist kein Fehler.

Was meinst Du mit Webenrollment ?? Das ist ja das, was ich Dir beschrieben haben oder ??
Bei Angabe des FQDN kommt der gleiche Fehler !!


Anforderungs-ID: 9
Zertifikat nicht ausgestellt (Verweigert) Verweigert vom Richtlinienmodul 0x80094801, Die A
nforderung enthält weder die Erweiterung für die Zertifikatvorlage, noch das Anforderungsatt
ribut "CertificateTemplate".
Die Anforderung enthält keine Zertifikatvorlageninformationen. 0x80094801 (-2146875391)
Zertifikatanforderungsverarbeitung: Die Anforderung enthält keine Zertifikatvorlageninformat
ionen. 0x80094801 (-2146875391)
Verweigert vom Richtlinienmodul 0x80094801, Die Anforderung enthält weder die Erweiterung f
ür die Zertifikatvorlage, noch das Anforderungsattribut "CertificateTemplate".

[zahni]

You may receive a "The request contains no certificate template information" error message when you submit a CSR to an enterprise CA by using the Certification Authority Microsoft Management Console (MMC) snap-in in Windows Server 200

Hilft vielleicht.

[olc]

Zitat von dtbsys Wenn ich certreq.exe ausführe bekomme ich folgende Fehlermeldung. Code: Anforderungs-ID: 9 Zertifikat nicht ausgestellt (Verweigert) Verweigert vom Richtlinienmodul 0x80094801, Die Anforderung enthält weder die Erweiterung für die Zertifikatvorlage, noch das Anforderungsattribut "CertificateTemplate". Die Anforderung enthält keine Zertifikatvorlageninformationen. 0x80094801 (-2146875391) Zertifikatanforderungsverarbeitung: Die Anforderung enthält keine Zertifikatvorlageninformationen. 0x80094801 (-2146875391) Verweigert vom Richtlinienmodul 0x80094801, Die Anforderung enthält weder die Erweiterung für die Zertifikatvorlage, noch das Anforderungsattribut "CertificateTemplate".

Hast Du im Zertifikatrequest für certreq.exe eine Zertifikatvorlage angegeben? Falls nicht, versuche das einmal. Ggf. poste einmal Deinen Certreq Request bzw. die INF Datei.

Andernfalls ist der Hinweis von zahni in jedem Fall korrekt (Thema Standard CAs und Templates).

Zitat von dtbsys Ja es sind Leerzeichen vorhanden, ist kein Fehler.

Ok, testweise würde ich es einmal ohne die Leerzeichen versuchen. Auch der X.500 Pfad erscheint mir zumindest fragwürdig. Versuche es doch einmal mit einem anderen Subject Name wie zum Beispiel: "CN=HOSTNAME.DOMAIN.TLD".

Es sieht im Moment für mich jedoch eher so aus, als ob es nicht daran liegt, weil die Fehlermeldung in eine andere Richtung zu gehen scheint und ein grundsätzliches CA Problem anzeigen könnte.

Zitat von dtbsys Was meinst Du mit Webenrollment ?? Das ist ja das, was ich Dir beschrieben haben oder ??

Ich hatte gefragt, ob sich andere Zertifikate über das Webenrollment ausstellen lassen.
Ich vermute, daß hier ein Problem liegen könnte (z.B. sind die DNS Einstellungen auf der CA korrekt gesetzt etc.) und sich schlichtweg gar keine Zertifikate ausstellen lassen.
Das gilt in diesem Zusammenhang bzw. der Fehlermeldung natürlich nur, wenn die CA eine Enterprise und keine Stand-Alone CA ist. Ansonsten müßte man an anderer Stelle suchen.

Viele Grüße
olc

[zeppoliner]

Ich weiß der Thread ist schon älter, wollte dennoch fragen ob hierzu je eine Lösung gefunden wurde. Stehe momentan vor dem gleichen Problem.

Alles was ich bisher bei Dr. Google finden konnte, deutet auf DNS- oder AD-Verbindungsprobleme hin. Die DNS-Settings an unserem Server stimmen und ein gpupdate läuft auch ohne Fehlermeldung durch.... gehe daher also davon aus, dass der Server sehr wohl mit den DCs kommunzieren kann.

Die Fehlermeldung tritt nicht nur beim einreichen des Exchange-Requests auf, sondern auch beim normalen Anfordern eines Zertifikat über die /certsrv-Seite.

Die CA stellt erfolgreich Zertifikate aus, wenn sie aus der MMC heraus angefordert werden.

[olc]

Hi,

Gegenfrage : Hast Du die Hinweise oben in den letzten Posts denn geprüft?

Viele Grüße
olc