对于实验室/教学环境,我们需要将 Windows 2012R2 计算机设置为域控制器,并在 636 上启用 LDAPS。由于我们还需要安装 ADCS,因此我们只需让ADCS 在 LDAPS 服务上自动生成证书。
但是证书一年后就会过期。有没有一种机制可以让证书在一年后自动更新?
我似乎找不到这个问题的答案。
或者我应该手动设置证书像这样有更长的到期时间吗?
答案1
在 Active Directory 证书服务中,可以将证书配置为在证书到期之前自动续订。此功能(随每个 Windows 系统提供)称为证书自动注册。
以下链接介绍了如何启用自动注册功能(默认情况下处于禁用状态):https://technet.microsoft.com/en-us/library/cc770546.aspx
在您的案例中,使用基于 Kerberos 身份验证证书模板(与 LDAPS 兼容)的证书并启用自动注册 GPO 就足够了。证书模板已包含企业域控制器全局组的自动注册权限。如果 GPO 配置正确,域控制器将在现有证书有效期的 80% 后更新其 LDAPS 证书。
这里的链接详细描述了什么是自动注册以及它的工作原理(供参考):https://technet.microsoft.com/en-us/library/cc778954(v=ws.10).aspx