Jump to content

Microsoft-Active Directory-Zertifikatdienste

dtbsys

Von dtbsys
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

dtbsys Rookie

dtbsys   10

Geschrieben
Geschrieben

Ein über die Exchange Management-Shell erstellte Anforderungsdatei für ein Zertifikat lässt sich über die Zertifizierungsstelle nicht signieren.

 

Folgende Quelltext habe ich im Shell verwendet:

New-ExchangeCertificate

-GenerateRequest

-SubjectName "c=DE, o=TEST, cn=test.dyndns.org"

-IncludeAcceptedDomains

-privatekeyexportable $true

-Path c:\test.req

 

Ganz gleich welchen Inhalt, welche Parameter ich hier verwende, der folgende Fehler ist immer der gleiche.

 

Den Inhalt der "test.req" möchte ich dann unter "https://SERVERNAME/CERTSRV“ einfügen: [Ein neues Zertifikat anfordern]-[Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein.]

 

Nach dem Bestätigen bekomme ich folgende Fehlermeldung:

 

 

Fehler bei der Anforderung. Beim Verarbeiten der Anforderung ist ein Fehler aufgetreten.

 

Weitere Hilfe erhalten Sie vom Administrator.

 

Anforderungsmodus: newreq - Neue Anforderung

Disposition: (nie gesetzt)

Dispositionsmeldung: (kein)

Ergebnis: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. 0x8007054b (WIN32: 1355)

COM-Fehlerinformationen: CCertRequest::Submit: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. 0x8007054b (WIN32: 1355)

Letzter Status: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. 0x8007054b (WIN32: 1355)

Mögliche Ursache: Keine Vorschläge.

 

 

 

Kann mir jemand weiterhelfen ?

Link zu diesem Kommentar
olc Veteran

olc   18

Geschrieben
Geschrieben

Hallo und willkommen hier im Board,

 

  • Lassen sich andere Zertifikate / Zertifikatanforderungen problemlos ausstellen (über Webenrollment)?
  • Was passiert, wenn Du als Antragsteller den Hostnamen bzw. FQDN der Maschine angibst?
  • Sind die Leerzeichen im Subject Name auch in Deinem Request so oder war dies nur ein Fehler beim Schreiben hier?
  • Ist es möglich mittels certreq.exe ein entsprechendes Zertifikat zu beantragen?

 

Viele Grüße

olc

Link zu diesem Kommentar
dtbsys Rookie

dtbsys   10

Geschrieben
  • Autor
Geschrieben

Wenn ich certreq.exe ausführe bekomme ich folgende Fehlermeldung.

Ja es sind Leerzeichen vorhanden, ist kein Fehler.

 

Was meinst Du mit Webenrollment ?? Das ist ja das, was ich Dir beschrieben haben oder ??

Bei Angabe des FQDN kommt der gleiche Fehler !!

 

 

Anforderungs-ID: 9

Zertifikat nicht ausgestellt (Verweigert) Verweigert vom Richtlinienmodul 0x80094801, Die A

nforderung enthält weder die Erweiterung für die Zertifikatvorlage, noch das Anforderungsatt

ribut "CertificateTemplate".

Die Anforderung enthält keine Zertifikatvorlageninformationen. 0x80094801 (-2146875391)

Zertifikatanforderungsverarbeitung: Die Anforderung enthält keine Zertifikatvorlageninformat

ionen. 0x80094801 (-2146875391)

Verweigert vom Richtlinienmodul 0x80094801, Die Anforderung enthält weder die Erweiterung f

ür die Zertifikatvorlage, noch das Anforderungsattribut "CertificateTemplate".

Link zu diesem Kommentar
olc Veteran

olc   18

Geschrieben
Geschrieben
Wenn ich certreq.exe ausführe bekomme ich folgende Fehlermeldung.

Anforderungs-ID: 9
Zertifikat nicht ausgestellt (Verweigert) Verweigert vom Richtlinienmodul  0x80094801, Die Anforderung enthält weder die Erweiterung für die Zertifikatvorlage, noch das Anforderungsattribut "CertificateTemplate".
Die Anforderung enthält keine Zertifikatvorlageninformationen. 0x80094801 (-2146875391) Zertifikatanforderungsverarbeitung: Die Anforderung enthält keine Zertifikatvorlageninformationen. 0x80094801 (-2146875391)
Verweigert vom Richtlinienmodul  0x80094801, Die Anforderung enthält weder die Erweiterung für die Zertifikatvorlage, noch das Anforderungsattribut "CertificateTemplate".

 

Hast Du im Zertifikatrequest für certreq.exe eine Zertifikatvorlage angegeben? Falls nicht, versuche das einmal. Ggf. poste einmal Deinen Certreq Request bzw. die INF Datei.

 

Andernfalls ist der Hinweis von zahni in jedem Fall korrekt (Thema Standard CAs und Templates).

 

Ja es sind Leerzeichen vorhanden, ist kein Fehler.

 

Ok, testweise würde ich es einmal ohne die Leerzeichen versuchen. Auch der X.500 Pfad erscheint mir zumindest fragwürdig. Versuche es doch einmal mit einem anderen Subject Name wie zum Beispiel: "CN=HOSTNAME.DOMAIN.TLD".

 

Es sieht im Moment für mich jedoch eher so aus, als ob es nicht daran liegt, weil die Fehlermeldung in eine andere Richtung zu gehen scheint und ein grundsätzliches CA Problem anzeigen könnte.

 

Was meinst Du mit Webenrollment ?? Das ist ja das, was ich Dir beschrieben haben oder ??

 

Ich hatte gefragt, ob sich andere Zertifikate über das Webenrollment ausstellen lassen. ;)

Ich vermute, daß hier ein Problem liegen könnte (z.B. sind die DNS Einstellungen auf der CA korrekt gesetzt etc.) und sich schlichtweg gar keine Zertifikate ausstellen lassen.

Das gilt in diesem Zusammenhang bzw. der Fehlermeldung natürlich nur, wenn die CA eine Enterprise und keine Stand-Alone CA ist. Ansonsten müßte man an anderer Stelle suchen.

 

Viele Grüße

olc

Link zu diesem Kommentar
  • 1 Jahr später...
zeppoliner Apprentice

zeppoliner   10

Geschrieben
Geschrieben

Ich weiß der Thread ist schon älter, wollte dennoch fragen ob hierzu je eine Lösung gefunden wurde. Stehe momentan vor dem gleichen Problem.

 

Alles was ich bisher bei Dr. Google finden konnte, deutet auf DNS- oder AD-Verbindungsprobleme hin. Die DNS-Settings an unserem Server stimmen und ein gpupdate läuft auch ohne Fehlermeldung durch.... gehe daher also davon aus, dass der Server sehr wohl mit den DCs kommunzieren kann.

 

Die Fehlermeldung tritt nicht nur beim einreichen des Exchange-Requests auf, sondern auch beim normalen Anfordern eines Zertifikat über die /certsrv-Seite.

 

Die CA stellt erfolgreich Zertifikate aus, wenn sie aus der MMC heraus angefordert werden.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...