Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2012/2012 R2 (http://forum.oszone.net/forumdisplay.php?f=117)
-   -   IIS, PKI WEB, права только на обновление сертификата (http://forum.oszone.net/showthread.php?t=322947)

HFShak 20-01-2017 16:24 2704920
IIS, PKI WEB, права только на обновление сертификата
 
Добрый день!
Опишу свою задачу:
Есть филиалы, вне домена, на компьютерах которых установлен сертификат.
Необходимо обновить сертификаты через pki web сервис.
С правами Enroll так же можно выпустить и новый сертификат (а это как раз надо пресечь, возможно УЗ будет передана сторонним лицам и .т.п.).
Попробовал сделать дубликат шаблона и дать права только на обновление (CA Certificate manager Approval + Valid Existing Certificate), но теперь при обновлении ругается на то, что конфликт шаблона:
Код:
Your certificate request was denied.

Your Request Id is 51555. The disposition message is "Denied by Policy Module 0x80094802, The request specifies conflicting certificate templates".

Contact your administrator for further information.

Вопрос:
Какие есть возможные способы ограничить права УЗ на выпуск сертификата, но оставить права на обновление.

ko4evneg 20-01-2017 17:23 2704936
Никаких. Запретите доступ в оснастку и настройте autoenroll.

https://technet.microsoft.com/en-us/...or=-2147217396

>>When subjects already hold a certificate, they need only Read and Enroll permissions to renew that certificate, whether they use autoenrollment or not.

HFShak 20-01-2017 18:42 2704953
Не понял, что именно надо сделать.
Если дать шаблону права autoenroll - то его не видно на web странице при запросе на обновление.


Время: 22:14.

Время: 22:14.
© OSzone.net 2001-