尽管我在安装下属时在 CAPolicy.inf 中使用了“LoadDefaultTemplates=0”,但我注意到它在安装后仍然颁发了 1 个证书。这是 CAExhange 证书,它向自己颁发了该证书。现在我想知道这是不是默认行为?
我检查了 CA Exchange 模板,但未在其中看到任何计算机帐户(相关证书颁发给计算机帐户)。我还没有通过 GPO 启用自动注册。
我使用的设置非常简单:CA1 = 离线根 CA S1 = 从属颁发 CA
没有加载默认模板,如果我转到认证机构->证书模板,就会看到它是空的。
所以现在我想知道 CAExchange 证书是如何颁发的?
答案1
默认情况下,ADCS 不使用CA Exchange证书模板来生成 CA Exchange 证书。相反,ADCS 使用内置配置来生成这些证书,其有效期为 1 个月。这是正常且预期的行为,您不必担心。事实上,CA Exchange证书是唯一一种无需安装同名模板即可由 ADCS 服务器生成的证书。
为什么要这样做?PKI Health 控制台 ( pkiview.msc) 依赖 CA Exchange 证书来构建企业 CA 映射,如果未安装模板,则会失败。为了解决这个问题,Microsoft 允许 ADCS 自动生成 CA Exchange 证书,而无需安装证书模板。