У меня странная проблема с запросом сертификата Code Signing с рабочей станции Windows 10. У нас установлен ЦС Windows Server 2012R2 с шаблоном Code Signing, и все работает нормально, если я делаю запрос с другой машины. Но если я делаю запрос через MMC->Certificates->Current User->Request New Certificate, я получаю ошибку:
The EMail name in unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED)
Если я посмотрю на неудачный запрос на сервере, я увижу ту же ошибку, но имя запросчика неверно. Вместо имени моего пользователя (DOMAIN\User) я вижу имя моего администратора (DOMAIN\UserAdmin). Это, очевидно, не работает, так как у моего пользователя admin нет адреса электронной почты AD.
Я не могу понять, откуда запрос получает имя администратора? Если я посмотрю в журнал событий моей рабочей станции, то увижу следующую ошибку:
- System
- Provider
[ Name] Microsoft-Windows-CertificateServicesClient-CertEnroll
[ Guid] {54164045-7C50-4905-963F-E5BC1EEF0CCA}
[ EventSourceName] CertEnroll
- EventID 13
[ Qualifiers] 49754
Version 0
Level 2
Task 0
Opcode 0
Keywords 0x80000000000000
- TimeCreated
[ SystemTime] 2021-01-19T13:27:15.5372014Z
EventRecordID 118908
Correlation
- Execution
[ ProcessID] 0
[ ThreadID] 0
Channel Application
Computer workstation.domain.com
- Security
[ UserID] S-1-5-21-507921405-651377827-682003330-2622
- EventData
Context DOMAIN\user
TemplateName CodeSigningCertificate
CA CertServ.domain.com\Domain-Issuing-CA
RequestId 12919
ErrorCode The EMail name is unavailable and cannot be added to the Subject or Subject Alternate name. 0x80094812 (-2146875374 CERTSRV_E_SUBJECT_EMAIL_REQUIRED)
Так что похоже, что запрос делается с моим стандартным пользователем, но сервер получает запрос с моим пользователем admin.
Есть идеи?
Если вы видите другое имя запросчика, то это может означать, что либо вы вошли в систему под неправильной учетной записью, либо приложение (MMC.exe или certmgr.msc) имеет жестко закодированные полномочия для запуска в повышенном режиме с полномочиями пользователя admin. Это настраивается на вкладке Совместимость в свойствах исполняемого файла/ ярлыка.