Cert Enrollment - mit Administrator für dritte User-Zertifikate erneuern nicht mehr möglich
Hallo zusammen,
ich kann über einen Windows 2012 r2 Server mit dem Enrollment Agent "Administrator" keine Benutzer-Zertifikate erneuern bzw. erstellen.
Wie auf dem Bild zu sehen ist kein Zertifikat verfügbar. Der Zertifikatspfad (root und sub) ist jedoch in Ordnung und gültig.
In der Vorlage ist nichts verändert und ist "Standard". Auch die Berechtigungen sind wie gehabt für den Domänen-Administrator gesetzt.
Auch ein Löschen des Cert-Caches mit anschließendem resync hat nicht geholfen.
Beim Versuch ein Benutzer-Zertifikat zu verlängern erhalte ich folgende Windows-Log-Meldungen:
ID 16 (CertificateServicesClient-CertEnroll)
Die Zertifikatregistrierung für DOMÄNE\administrator konnte ein Zertifikat Benutzerzertifikat mit der Anforderungs-ID 673 von server.domain.de\domain-ServerXYZ-SubCA (Eine oder mehrere Signaturen haben keine erforderlichen Anwendungs- bzw. Ausstellungsrichtlinien eingeschlossen. Die Anforderung enthält keine erforderlichen gültigen Signaturen. 0x8009480b (-2146875381 CERTSRV_E_SIGNATURE_REJECTED)) nicht erneuern. Das Zertifikat b7 38 96 23 39 38 f5 81 87 b7 9c 23 bd bc 83 93 f1 88 6e dc konnte nicht erneuert werden.
ID 53 (CertificationAuthority)
Die Anforderung 673 wurde abgelehnt, da Eine oder mehrere Signaturen haben keine erforderlichen Anwendungs- bzw. Ausstellungsrichtlinien eingeschlossen. Die Anforderung enthält keine erforderlichen gültigen Signaturen. 0x8009480b (-2146875381 CERTSRV_E_SIGNATURE_REJECTED). Die Anforderung war für E=username@domain.net, CN=Vorname Nachnahme, OU=Service und Betrieb, OU=Benutzer, DC=domain, DC=de. Weitere Informationen: Verweigert vom Richtlinienmodul 0x8009480b, Die Zertifikatvorlage "Benutzerzertifikat" erfordert 1 Signaturen, es wurden aber nur 0 akzeptiert.
Vielen Dank für jeden guten Tipp vorab!
ich kann über einen Windows 2012 r2 Server mit dem Enrollment Agent "Administrator" keine Benutzer-Zertifikate erneuern bzw. erstellen.
Wie auf dem Bild zu sehen ist kein Zertifikat verfügbar. Der Zertifikatspfad (root und sub) ist jedoch in Ordnung und gültig.
In der Vorlage ist nichts verändert und ist "Standard". Auch die Berechtigungen sind wie gehabt für den Domänen-Administrator gesetzt.
Auch ein Löschen des Cert-Caches mit anschließendem resync hat nicht geholfen.
Beim Versuch ein Benutzer-Zertifikat zu verlängern erhalte ich folgende Windows-Log-Meldungen:
ID 16 (CertificateServicesClient-CertEnroll)
Die Zertifikatregistrierung für DOMÄNE\administrator konnte ein Zertifikat Benutzerzertifikat mit der Anforderungs-ID 673 von server.domain.de\domain-ServerXYZ-SubCA (Eine oder mehrere Signaturen haben keine erforderlichen Anwendungs- bzw. Ausstellungsrichtlinien eingeschlossen. Die Anforderung enthält keine erforderlichen gültigen Signaturen. 0x8009480b (-2146875381 CERTSRV_E_SIGNATURE_REJECTED)) nicht erneuern. Das Zertifikat b7 38 96 23 39 38 f5 81 87 b7 9c 23 bd bc 83 93 f1 88 6e dc konnte nicht erneuert werden.
ID 53 (CertificationAuthority)
Die Anforderung 673 wurde abgelehnt, da Eine oder mehrere Signaturen haben keine erforderlichen Anwendungs- bzw. Ausstellungsrichtlinien eingeschlossen. Die Anforderung enthält keine erforderlichen gültigen Signaturen. 0x8009480b (-2146875381 CERTSRV_E_SIGNATURE_REJECTED). Die Anforderung war für E=username@domain.net, CN=Vorname Nachnahme, OU=Service und Betrieb, OU=Benutzer, DC=domain, DC=de. Weitere Informationen: Verweigert vom Richtlinienmodul 0x8009480b, Die Zertifikatvorlage "Benutzerzertifikat" erfordert 1 Signaturen, es wurden aber nur 0 akzeptiert.
Vielen Dank für jeden guten Tipp vorab!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 489766
Url: https://administrator.de/contentid/489766
Ausgedruckt am: 20.11.2024 um 17:11 Uhr