<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2900.3059" name=GENERATOR></HEAD>
<BODY style="MARGIN: 4px 4px 1px; FONT: 10pt Tahoma">
<DIV>Hi, it looks like I used a certificate with the wrong OID.  I used a cert minted with their "SubCA" template which doesn't have the (OID 1.3.6.1.5.5.7.3.1).</DIV>
<DIV> </DIV>
<DIV>In "playing" with the Microsoft CA on Windows 2003 server, I've found that the Certificate made using the "Web Server" template is the one required.  Unfortunately, this particular template doesn't allow the Certificate's keys to be exported.  I tried creating a new Certificate template by copying from the one called "Web Server" and now, I have a new "Web Server" template with the ability to export it's keys.  The problem is I can't seem to make use of this new template within their CA.</DIV>
<DIV> </DIV>
<DIV>I know this is a Microsoft issue but I've looked high and low in their docs and when you go to their CA and try to select "Certificate Template to Issue", the new template created are not available.  I'm a little obsessed with making this work so I'm hoping someone here <STRONG>a quick answer to making Microsoft's CA allow me to mint a Web Server certificate with exportable keys</STRONG>.</DIV>
<DIV> </DIV>
<DIV>Thanks for any future and previous help,</DIV>
<DIV>Marc<BR><BR>>>> karlsen-masur@dfn-cert.de 4/27/2007 4:11:58 AM >>><BR></DIV>
<DIV style="COLOR: #000000">Hi.<BR><BR>A.L.M.Buxey@lboro.ac.uk wrote:<BR>> either use your current tool but include the XP extensions as required,<BR><BR>Just to be precise. The named extensions are PKIX extensions for serverAuth<BR>(OID 1.3.6.1.5.5.7.3.1) (at the RADIUS server) and clientAuth (OID<BR>1.3.6.1.5.5.7.3.2) (for EAP-TLS on the supplicant).<BR><BR>Also if a client certificate is used on Windows with EAP-TLS the<BR>extendedKeyUsage "Microsoft SmartCard Logon" (OID 1.3.6.1.4.1.311.20.2.2)<BR>*must not* be present because Windows won't be able to use/choose such a<BR>client certificate to authenticate at the RADIUS server.<BR><BR>It is only Windows that is looking at these extededKeyUsages in the<BR>certificate and expecting the correct extensions here.<BR><BR>-- <BR>Beste Gruesse / Kind Regards<BR><BR>Reimer Karlsen-Masur<BR><BR>DFN-PKI FAQ: <A href="https://www.pki.dfn.de/faqpki">https://www.pki.dfn.de/faqpki</A><BR>--<BR>Dipl.-Inform. Reimer Karlsen-Masur (PKI!
  Team), Phone +49 40 808077-615<BR>DFN-CERT Services GmbH, <A href="https://www.dfn-cert.de,">https://www.dfn-cert.de,</A> Phone +49 40 808077-555<BR>Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737<BR></DIV></BODY></HTML>