我们正在使用 Active Directory 证书服务 (AD CS) 为内部 Web 应用程序颁发证书。我们可以手动向 CA 申请证书,并且证书会顺利颁发。自动注册组策略根据以下内容配置这里。
以这种方式颁发的证书之一即将过期,因此我正在寻找一种自动更新过期证书的方法(无需任何手动步骤)。
从我在网上找到的,需要启用该选项“使用现有证书的主题信息进行自动注册续订请求”,我们随后在该证书所基于的现有证书模板上执行了此操作。
(我们还必须将兼容性设置更改为认证机构:Windows Server 2008 R2和证书获得者:Windows 7 / Server 2008 R2,因为该选项之前是灰色的)
检查该选项后不久,即将过期的证书已被存档,但没有颁发新的证书。
今天第二次尝试时,我取消了证书存档并添加了自动注册模板的权限分配给适当的组,但结果相同。
更新: CA 服务器本身也托管一个 IIS 网站,因为它具有证书颁发机构 Web 注册角色服务已安装。我现在注意到,启用上述选项后不久,该服务器的证书必须自动更新。这也告诉我,模板不可能是问题所在,因为它在那里起作用。
这正是我想要的,但不幸的是我无法让它在其他服务器上运行。
更新 2: 现在我已经向前迈出了一大步。由于两年的有效期很难测试,我复制了现有模板,并将有效期改为几个小时。你猜怎么着!使用测试模板颁发的证书会自动续订,没有任何问题。
我通常会想:好吧,这可能只适用于更改后颁发的证书 - 但事实也并非如此,因为它适用于网络注册网站。
我无法用这个证书进行长期测试,因为它明天就到期了。不过,我还是想知道是什么原因导致它无法正常工作。
如果有人能对此给出合理的答案,我仍然会给予赏金。
答案1
微软的讨论中有一个可能的答案:
相关引述:“自动注册从未被设计用于处理基于配置自动注册的同一模板的多个证书。只有证书的第一个实例会自动更新。”
您是否看到过这样的情况:附加到模板的一个证书得到更新,但后续证书没有更新?