更新

更新

我有一个 LDAP 应用程序,需要通过 LDAPS(基于 SSL 的 LDAP)与 Active Directory 通信。我在测试域控制器上安装了 Active Directory 证书服务(我知道这不是最佳实践,但我的客户没有用于独立 CA 服务器的备用 Windows Server 许可证)。

这里我阅读并遵循以下说明:

如果您在域控制器上安装 AD CS 角色并将安装类型指定为企业,则林中的所有域控制器都将自动配置为接受通过 SSL 的 LDAP

颁发的证书确实已加载到 DC 证书存储中,并且 LDAPS 感知应用程序正在运行。

我的问题是: 证书会自动续订/重新注册吗?还是我需要手动处理?我需要检查什么才能确保自动续订能正常工作?

答案1

使用 ADCS Enterprise CA,您可以利用证书自动注册功能,自动为用户和计算机请求和更新证书。我撰写了一份新的白皮书,详细介绍了它的工作原理:Windows Server 2016 中的证书自动注册。有一份可下载的文档副本。

简而言之,具体如下:

  1. 按照以下指定在 GPO 中配置自动注册策略配置自动注册策略部分。
  2. 将 GPO 应用到适当的容器(OU、域、站点)。
  3. 找到您想要部署的合适证书模板。转到“安全”选项卡并授予相应组(用户、计算机或 DC)以下权限:读取、注册和自动注册。
  4. 将模板发布到CA进行颁发。
  5. ????
  6. 利润

最后两项意味着您必须等到 GPO 应用于客户端。

注意:为了使自动注册成功,证书的主题名称必须由 Active Directory 构建。


更新

在您的特定问题中,您只需要配置自动注册 GPO 并将Kerberos Authentication模板发布到 CA(如果尚未添加)。此模板已具有所有必需的权限。

相关内容