我有一个两层 PKI 基础架构,其中包含一个离线根 CA 和两个企业中级证书颁发机构,用于自动注册证书。我已在 Active Directory 中的默认域 GPO 中为机器证书设置了自动注册。直接访问服务器具有来自第一个 PKI 服务器的机器证书。
我的问题是,如果客户端机器自动从第二个 PKI 服务器注册证书,则直接访问不起作用。即使两个 PKI 服务器都应该链接到同一个根,但只有当机器证书从 PKI01(即颁发直接访问服务器证书的同一服务器)颁发时,直接访问才起作用。
如果我有来自直接访问服务器上每个 PKI 的机器证书,则会失败,因此我只能有一个机器证书。
有什么想法吗?谢谢 Steve