出現「憑證範本上的權限不允許目前的使用者註冊這類型的憑證,您沒有權限可以要求此類型的憑證。」錯誤
最近因為海外的IIS上線,
但是是使用http連線,
這是相當危險的一件事情,
所以必須要把http改成https,
但改https時一定要憑證,
如果是網域內公司使用,
可以透過憑證主控台,
來向網域內的憑證伺服器要求憑證,
但問題來了,
當我從憑證主控台進行「要求新憑證」時,
出現沒有權限可以要求此憑證的錯誤
(↑沒有權限要求此類型憑證)
奇怪,
雖然是在海外,
但我還是Domain Admin阿,
怎麼會沒有權限呢?
後來在微軟的官方文件中,
找到了說明
(↑擷取這次解決方案)
原來是因為企業的CA並沒有把憑證範本公佈到Active Directory內阿,
才導致子網域找不到,
那我們就來把憑證範本公佈到Active Directory內吧,
同時也授予「Authenticated Users」,
讓其他同事在往後要求憑證時,
能夠順利要到~
首先,
先登入CA Server,
開啟[憑證授權單位],
之後在該台CA上點選右鍵並選擇「內容」,
在「安全性」的書籤裡面,
把「Authenticated Users」的讀取及要求憑證權限設立允許。
(↑開啟「讀取」跟「要求憑證」)
之後開啟「Active Directory 站台及服務」,
先把上面「檢視」裡面的「顯示服務節點」打開
(↑開了之後才會有「Services」這個容區)
接著「Services」→「Public Key Services」→「Certificate Templates」內,
在你要發行到子網域的範本上點選右鍵並點擊「內容」。
在「安全性」的書籤中,
授予權限給你想要讓他們能夠註冊的群組。
(↑給予Authenticated Users「讀取」、「註冊」及「自動註冊」)
接著在「一般」的書籤中,
把「將憑證發佈到Active Directory」打勾。
(↑不勾的話,子網域就找不到啦~~~)
接著到海外廠的Server內要求憑證啦~~
(↑出現剛剛公佈的憑證範本了)
(↑註冊成功~)
後記
1. 設定完「憑證範本」的,建議重新啟動CA的服務以防萬一
2. 在設定完全部之後,可能因為子網域在海外的關係,傳輸的速度不是那麼快,我會建議多等一會,別像我一樣連到海外廠要求憑證的時候發現,怎麼會沒有剛剛的憑證範本~~~
