Ошибка Denied by Policy Module, быстрое решение
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов по системному администрированию Pyatilistnik.org. В прошлый раз мы с вами установили операционную систему CentOS 8 и протестировали на ней утилиту Iperf. Двигаемся дальше, в сегодняшней публикации я бы хотел с вами поделиться небольшим опытом относительно недавней ситуации в которую я попал, а именно у меня не получилось произвести выпуск сертификата на моем центре сертификации, где я постоянно получал ошибку "Your certificate request was denied. Your request id is 87977. The disposition message is "Denied by Policy Module". давайте разбираться в чем дело.
Описание ошибки с выпуском сертификата
Обратился ко мне мой коллега с такой проблемой, что он создал новый шаблон в нашем локальном центре сертификации, который работает в домене Active Directory и попытался с его помощью произвести выпуск сертификата через веб-форму, в результате в место привычного скачивания сертификата увидел ошибку:
Из сообщения видно, что наш запрос на сертификат был отклонен по причине отсутствия прав на него.
Устранение проблемы "Denied by Policy Module"
Первое, что вы должны сделать, так это открыть оснастку "Центр сертификации" на своем сервере, в моем случае он работает на виртуальной машине с Windows Server 2012 R2 и посмотреть отклоненные запросы. В результате я уже увидел более детальную ошибку:
Тут уже стало более понятно в чем дело. Загвоздка в том, что если вы копируете такие шаблоны, как IPSec и подобные им, то там не нужно указывать в "Subject Name" запрос из "Build from this Active Directory information".
Зайдите в свойства вашего шаблона и перейдите на вкладку "Subject Name", после чего выберите пункт "Supply in the request". Сохраняем настройки и пробуем выпустить сертификат.
В итоге у меня все успешно отработало и я смог скачать всю цепочку сертификатов.
Дополнительные методы
Что еще нужно проверить при ошибке:
- Если было дублирование шаблона сертификата "Пользователь (User)", то включение флажка DNS-имени приведет к этой ошибке. Сертификат регистрируется с использованием учетных данных учетной записи пользователя, которая, очевидно, не имеет DNS-имени, прикрепленного к объекту. В этом случае вы можете, как показал выше включить другую опцию, или взять и скопировать другой шаблон сертификата.
- Так же обязательно проверьте ваш список доступа (ACL) на предмет наличия прав, от имени кого вы пытаетесь запросить сертификат. Откройте вкладку "Безопасность (Security)" и убедитесь, что у группы "Прошедшие проверку (Authentification Users)" есть права на чтение, а у нужного вам пользователя есть права "Запись (Write)" и "Выпуск (Enroll)".
- Если у вас устройства на базе MacOS, то Mavericks и выше вам нужно было, чтобы имя субъекта сертификата PKI использовало UPN, а не DNS-имя.
- Еще есть похожая ошибка "The Email name is unavailable and cannot be added to the Subject or Subject Alternate name", она решается так же изменением небольшого параметра "include e-mail name in sublect name", который нужно отключить.
На этом у меня все, мы разобрали некоторые методы устранения ошибки "Your certificate request was denied. Your request id is 87977. The disposition message is "Denied by Policy Module". С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.