Windows PKI 策略有一个设置,我认为是当 AD 模板颁发的证书过期时自动更新。
它还必须在证书颁发机构 (CA) 端启用。问题 - 如果我将基于 AD 模板的证书从最初生成证书的机器复制到另一个机器,自动续订是否会在新机器上工作?
这可能取决于续订是由 CA 发起还是由证书的归属机器发起。在前一种情况下,CA 可能不知道证书已被复制,并可能通过全局策略将其推送到原始主机。
答案1
所有续订都是由客户端而不是 CA 发起的。
要续订,客户端需要发送续订请求羧甲基纤维素钠格式。CMC 续订请求需要原始证书的私钥签名,因此您需要确保证书和私钥在客户端上 - 而不仅仅是证书。
然后,您需要考虑模板。如果它采用来自 AD 的主题名称,那么当新客户端续订时,可能会颁发与原始名称不同的证书,这可能不起作用,具体取决于 CA 执行的验证检查。
在另一台机器上注册一个新证书会更容易。