我正在尝试使用 WES 配置基于密钥的续订,以支持工作组计算机和不受信任域中的证书自动更新。
我已经配置了 CEP(证书认证、基于密钥的更新)和 CES(证书认证、基于密钥的更新、只读模式)。
客户端是加入非受信任域的服务器。我成功通过 GPO 设置了 CEP。并且我能够通过 MMC 手动更新证书。
但是证书不会自动更新。我确实收到事件 ID 1003 - 证书即将过期。并且通过 GPO 启用了自动注册。如果我尝试手动更新 - 它有效。
有任何想法吗?
答案1
Autoenroll根据您的评论,您遇到的行为是意料之中的。客户端对外部林中的证书模板没有权限。
由于您可以手动注册和续订证书,因此您可以转到 CA 服务器(或让 PKI 管理员执行此操作)并查找用于验证您的请求的身份(Requester Name列)。必须授予此用户帐户Autoenroll权限或将其添加到对该模板具有适当权限的全局或通用组。然后删除本地策略缓存并运行certutil -pulse以触发自动注册并尝试续订证书。
请注意,如果有更多基于相同模板的新证书,则自动注册将不会续订它,直到证书有效期的 80% 过去或模板主要修订版更新。