我直截了当地创建了一个位于域内的 PKI 服务器 (AD CS)。
我的域控制器从它获得了域控制器证书。
之后,我认为最好创建一个不在域中的根 CA 和一个位于域内的从属 CA。
因此我需要卸载我的第一个 PKI 服务器,我按照以下步骤操作来自微软的指南. (基本上删除 PKI 服务器和所有属于 PKI 的 AD 对象)
做完这些之后,我跟着这个视频创建多层 PKI 结构。这个方法效果很好,我启动并运行了它,它为我的计算机和用户创建了证书。它还正确地位于我的 Active Directory 公钥服务、AIA、CDP 等中。
现在的问题是:我的域控制器不从我的新 PKI 服务器请求证书。如果我去他们那里,Cert:\LocalMachine\My他们仍然有来自我旧的 PKI 服务器的域控制器证书。
我的问题是:
- 为什么他们不能自动从我的新 PKI 服务器获取证书?
- 我如何强制他们从新的 PKI 服务器获取证书?
- 我可以删除他们的证书存储区中的旧证书吗?
DC 是服务器核心 2019,PKI 是服务器 2022
答案1
以下命令告诉本地服务器联系其 PKI 以获取新证书。您可以先删除旧证书,然后运行该命令。
certutil -pulse