我有一个 LDAP 应用程序,需要通过 LDAPS(基于 SSL 的 LDAP)与 Active Directory 通信。我在测试域控制器上安装了 Active Directory 证书服务(我知道这不是最佳实践,但我的客户没有用于独立 CA 服务器的备用 Windows Server 许可证)。
从这里我阅读并遵循以下说明:
如果您在域控制器上安装 AD CS 角色并将安装类型指定为企业,则林中的所有域控制器都将自动配置为接受通过 SSL 的 LDAP
颁发的证书确实已加载到 DC 证书存储中,并且 LDAPS 感知应用程序正在运行。
我的问题是: 证书会自动续订/重新注册吗?还是我需要手动处理?我需要检查什么才能确保自动续订能正常工作?
答案1
使用 ADCS Enterprise CA,您可以利用证书自动注册功能,自动为用户和计算机请求和更新证书。我撰写了一份新的白皮书,详细介绍了它的工作原理:Windows Server 2016 中的证书自动注册。有一份可下载的文档副本。
简而言之,具体如下:
- 按照以下指定在 GPO 中配置自动注册策略配置自动注册策略部分。
- 将 GPO 应用到适当的容器(OU、域、站点)。
- 找到您想要部署的合适证书模板。转到“安全”选项卡并授予相应组(用户、计算机或 DC)以下权限:读取、注册和自动注册。
- 将模板发布到CA进行颁发。
- ????
- 利润
最后两项意味着您必须等到 GPO 应用于客户端。
注意:为了使自动注册成功,证书的主题名称必须由 Active Directory 构建。
更新
在您的特定问题中,您只需要配置自动注册 GPO 并将Kerberos Authentication模板发布到 CA(如果尚未添加)。此模板已具有所有必需的权限。