我正在尝试停用托管 DC、NPS 和 CA 的 Server 2008 计算机。我已部署两台新服务器来接管根 CA 和 RADIUS 服务器(两台新服务器均为 2012R2)。新的根 CA 正在颁发证书(DC 身份验证自动注册),并且新的 NPS 服务器已使用我们现有的配置恢复。
由于我要将 NPS 服务器从 DC 移出,因此我需要从我的新 CA 向其颁发 RAS 和 IAS 服务器证书。当我尝试选择我创建的要颁发的证书时,界面仅列出架构版本为 1 的证书模板可供颁发。这是由于我的域功能级别 (2008) 吗?还是因为我仍然有一个运行 Server 2008 标准的授权 CA?还是我遗漏了其他内容?
-
编辑 1:就我的目的而言,事实证明,普通的旧计算机证书允许 RADIUS 进行身份验证。我仍然想弄清楚为什么我无法在此配置中颁发架构版本 2/3 证书模板。
编辑 2:我已从 Server 2008 CA 中删除所有证书模板。当我从 2012R2 CA 管理模板时,我可以看到 V2&3 证书,但当我进入“要颁发的证书模板”屏幕时,只列出了 V1 模板。
编辑3:模板示例:
- 重复的计算机模板(创建版本 2 模板)
- 一般的:更改显示名称,检查在 Active Directory 中发布证书
- 安全:确认经过身份验证的用户具有读取权限,所有其他权限均为默认权限
- 所有其他设置均为默认设置
答案1
- 如果现有的 CA 服务器(基于 2008)尚未退役,则需要从该 CA 中删除所有证书模板。
- 将所需模板添加到新的CA(基于2012R2)中以供颁发。
不,对域功能级别没有依赖。