与任何 IT 环境一样,Web 服务器证书的数量也在不断增加。随着有效期缩短至 1 年,如果这些流程不自动化,管理工作量也会同时增加。目前,我们有一个基于 MS ADCS 的简单 PKI。
我从未将 Web 服务器(主要是带有 IIS、Apache、Tomcat 等的 Windows Server)证书的颁发委托给 Web 服务器,因为我无法使用 Microsoft 板载资源控制在 Web 服务器请求中指定哪个域。即使您仍然可以将展示限制在某些群体中。
我很想知道其他人的情况如何,以及其他人是否也越来越多地谈到这里描述的观点。从 CA 的角度来看,我宁愿有一个可以控制哪个服务器请求哪个 Web 服务器证书的生命周期。从纯粹的管理员和成本的角度来看,直接向所有人发布模板是很有诱惑力的。
答案1
一旦 CA 管理员角色给出初步批准,您就应该将模板配置为自动重新注册:
在您的模板上,您应该设置初始发行要求到CA 证书管理员批准正如你已经拥有的那样。
接下来,设置模板的发行要求允许使用重新注册有效的现有证书,并设置主题名称到使用现有证书中的主题信息进行自动注册续订请求。
确保您的组策略已设置:证书服务客户端 - 自动注册设置启用注册新证书、续订过期证书、处理待处理的证书请求并删除已撤销的证书和更新和管理使用 Active Directory 中的证书模板的证书。
现在您需要批准初始颁发,但客户端和 CA 将自动续订。您仍需要在 IIS 上配置绑定。
您可能需要检查您的证书策略是否允许这样做。有些证书策略可能会限制自动重新注册的次数。
请注意,一年左右的限制仅适用于公共 CA,因此您的内部 CA 可以在有效期方面做他们想做的事情,当然要遵守证书策略中的控制。