我有这个 AD 域,其中 Windows Server 2003 SP2 企业根证书颁发机构正在运行,并且为用户和计算机启用了证书自动注册;一切都很好,每台加入域的计算机都会自动获得颁发的计算机证书。还有两个 Windows Server 2003 SP2 域控制器,它们收到了域控制器证书;一切又都很好。
然后我得到了一个 Windows Server 2008 R2 SP1 成员服务器,该服务器已经自动注册了计算机证书,并将其提升为域控制器。升级后它没有获得任何新证书,也没有任何地方记录任何错误:看起来它只是决定,既然已经有了一个有效的证书,就不需要新的证书了。
我想知道的是:
- 计算机证书模板和域控制器证书模板之间实际上有区别吗?
- 如果域控制器具有前者之一而不是后者之一,是否会有区别?
- 我如何强制此域控制器自动注册适合其角色的正确类型的新证书?
编辑:
我尝试撤销现有证书并重新启动新 DC;什么也没发生。然后我从 DC 的本地存储中删除现有证书并再次重新启动;这次也没有发生任何事情。
编辑:
我打开了自动注册日志,我发现实际上是一些错误...当新的 DC 尝试注册证书时,它会记录一堆错误:
- 事件 ID 56:“未执行模板 DomainController 的本地系统的证书注册,因为该模板已被取代。”
- 事件 ID 46:“本地系统的证书注册无法注册机器证书。此模板不允许读取或注册访问。”
- 事件 ID 47:“本地系统的证书注册无法注册 DirectoryEmailReplication 证书。找不到有效的证书颁发机构来颁发此模板。”
- 事件 ID 47:“本地系统的证书注册无法注册 DomainControllerAuthentication 证书。找不到有效的证书颁发机构来颁发此模板。”
- 事件 ID 47:“本地系统的证书注册无法注册 KerberosAuthentication 证书。找不到有效的证书颁发机构来颁发此模板。”
答案1
尝试certutil -pulse- 这应该会检查系统有权限的模板,并注册它们。只要模板上的权限设置没有发生任何异常,获取证书应该没有问题。
您肯定希望您的 DC 拥有域控制器样式的证书(Domain Controller是旧的;Domain Controller Authentication然后Kerberos Authentication取代它;如果您的 CA 正在运行企业版,那么考虑切换到较新的 Kerberos 模板) - 虽然它满足的许多功能将由计算机证书处理,但一些 DC 特定的东西,如智能卡身份验证、LDAP/SSL 侦听器(我相信?),以及较新的 Kerberos 证书、强 KDC 验证,需要特殊证书。
答案2
您是否尝试过从服务器本身删除证书,而不是简单地将撤销发布到 CA 上的撤销列表?然后让服务器再次注册(请求证书)?
以下是有关证书的一些信息: http://technet.microsoft.com/en-us/library/cc787009(WS.10).aspx