我大约一年前安装了 MS DirectAccess,这需要配置计算机证书自动注册。第一个计算机证书将在大约一个月后到期,现在我想知道这对于从未本地连接到域的机器将如何工作。
自动注册政策包括自动续订。所以我的问题是,续订何时进行?如果证书过期,那么在我看来,DA 连接将停止工作,并且无法进行续订。
抱歉,我对 Windows(或任何地方)上的证书的了解极其有限。谢谢
答案1
DA 机器,顾名思义,是连接到域的。它们可以像在现场一样获取 GPO 和所有其他信息。
只要您有自动续订功能,并且续订时间百分比足够长,以致人们不会被锁定(超过周末或计划中的公司停机时间),您就没问题了。以下是相关 GPO 设置的屏幕截图。
http://1.bp.blogspot.com/-IpzPPsHHQ14/UfLwHEeJE_I/AAAAAAAAASg/qUYAP3GRxtA/s1600/Auto+Enrollment.png
/编辑 - 啊哈。我查看的 PKI 没有显示此信息,但我在网上找到了。以下是证书模板中也必须设置的部分:常规选项卡上的续订期限。上面的 GPO 设置可能与自动注册和续订无关。
如果您当前的证书是从没有此设置所需值的模板构建的,则您需要编辑或创建新模板并重新颁发证书,但 DA 证书默认值应该相当合理。
答案2
1) 证书续订将在证书到期前证书模板中指定的时间段内触发。如果失败,自动注册客户端将尝试定期续订证书。
在给定的示例中,自动注册将在证书到期前 6 周首次尝试更新证书。
2) 为了更新证书,客户端必须能够通过 RPC/DCOM 连接域控制器和 CA 服务器。
3) 确保客户端是否对目标证书模板具有读取、注册和自动注册权限。
答案3
因此,您的设置是正确的。但是,您的客户端通过什么触发器来验证证书是否处于续订期限内(如上所示,距离到期不到 6 周)?这是登录后以及此后每 8 小时运行一次的计划任务。请参阅任务计划程序。Microsoft\Windows\CertificateServicesClient\UserTask在操作下,您将看到自定义处理程序,您无法从中获得更多详细信息。它所做的就是运行dimsjob.dll,从输出中可以看出schtasks /query /XML /TN "\Microsoft\Windows\CertificateServicesClient\UserTask"