Zertifikatvorlage kann nicht verwendet werden
Wenn es die Situation erfordert und es nicht möglich ist, ein Zertifikat von der Zertifizierungsstelle direkt anzufordern, dann kann der Zertifikatantrag (Certificate Signing Request) manuell erstellt werden.
Domänenkontroller Zertifikat manuell beantragen
Dazu benötigen wir lediglich eine Konfigurationsdatei. In der Konfigurationsdatei steht alles drin, was wir zur Erstellung einer Zertifikatanfrage benötigen. Es müssen lediglich 3 Strings angepasst werden.
- SERVER_FQDN
- DOMAIN_FQDN
- DOMAIN_NETBIOS_NAME
Die Beantragung erfolgt über eine administrative Kommandozeile. Der Name der Zertifikatvorlage sollte bekannt sein.
certreq.exe -new cert.inf DC2.req
certreq -submit -attrib “CertificateTemplate:SHA256-DC” DC2.req
certreq -retrieve 176
certreq -accept DC2.cer
Der Ablauf sieht dann wie folgt aus:
Nachdem das Zertifikat signiert und installiert wurde, sollte es noch geprüft werden.
certutil -dcinfo