為Catalyst Center建立Windows Server證書模板

簡介

本文說明在運行證書頒發機構(CA)工具的Windows Server上建立證書模板的步驟。

必要條件

需求

思科建議您瞭解以下主題：

• Cisco Catalyst Center
• 安裝並配置具有證書頒發機構(CA)角色的Windows Server
• Windows Server上的管理員許可權
• 對證書頒發機構管理控制檯的訪問許可權
• 憑證範本和憑證簽名要求(CSR)的基本知識

採用元件

本文檔中的資訊基於Microsoft Windows Server 2022 Standard。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

此自定義模板可解決預設CA模板從擴展金鑰用法中刪除客戶端身份驗證的問題。自定義模板能夠對由Catalyst Center生成的證書簽名請求(CSR)進行簽名。

設定

使用證書頒發機構(CA)在Windows Server上稽核和配置證書模板的步驟。

1. 使用遠端桌面登錄到託管CA的Windows Server。

2. 開啟命令提示符(CMD)或powerShell會話。

3. 通過運行以下命令啟動證書頒發機構和證書模板控制檯：

certsrv.msc
certtmpl.msc

管理Powershell命令

Windows Server示例

4.在證書模板控制檯中，找到要克隆的模板，以建立新的可自定義模板。

提示：使用Web伺服器模板，因為它已包含Catalyst Center證書的所有必需引數。

• 範例：按一下右鍵web server，然後選擇duplicate template。

複製模板

5.開啟新模板，使用所需特徵對其進行修改。

模板所需特徵

6.按如下方式修改新模板：

6.1 「常規」頁籤。

• 輸入模板名稱（例如Catalyst Center模板）。
• 定義有效期(預設值：2年)。

模板名稱

6.2擴展頁籤。

• 導航到應用程式策略，然後按一下edit。

附註：在此頁籤中，確認模板包括Catalyst Center證書所需的強制性金鑰使用擴展，例如keyEncipherment和digitalSignature。它們已存在於用作基礎的預設Web伺服器模板中。

模板應用程式策略

• 按一下add，找到client authentication，然後按一下ok以包含它。

使用者端驗證

新增應用程式策略

• 確認模板顯示Client Authentication以及預設用法。

應用策略擴展

7.按一下apply，然後按一下ok。

8.在Certificate Authority控制檯中，展開CA樹，然後選擇certificate templates資料夾。

CA樹憑證模板

9.按一下右鍵證書模板資料夾，然後選擇：

新建>要頒發的證書模板.

要頒發的新證書模板

10.在新視窗中，選擇新創建的模板（例如Catalyst Center模板），然後按一下ok。

Catalyst中心模板

11.模板現在顯示在CA的Certificate Templates清單下。

12.開啟瀏覽器，然後導航至：

http://localhost/certsrv/

登入頁面http://localhost/certsrv/

13.依次選擇請求證書和高級證書請求，以驗證新模板是否可用。

14.在此頁面上，提交CSR並選擇新建的模板以生成簽名證書。

請求證書

13.憑證是使用正確的擴展生成的，如示例所示。

憑證範例

疑難排解

如果在對CSR進行簽名時遇到錯誤，請檢視Windows Server日誌以瞭解更多詳細資訊：

錯誤：

疑難排解

1.通過運行以開啟事件檢視器：

eventvwr.msc

2.定位至「事件檢視器」>「Windows日誌」>「應用程式」。

3. 在以下情況下過濾或搜尋事件：

   1. 來源= CertificationAuthority

   2. 事件ID = 53、54、55或類似事件（這些事件表示請求已發出、被拒絕或處於掛起狀態）。

   3. 事件消息包含有關拒絕原因的詳細資訊（如果適用）。

4.使用Find選項(按一下右鍵Application > Find...)，然後按以下方式搜尋：

• certsrv

• 請求ID(如果知道，例如164)

排除Windows Server日誌故障