我们当前在 Windows 2008 R2 Enterprise 上使用 NDES 服务,其中同一个框也是独立的证书颁发机构。
在初始设置期间,NDES 基于模板 CEPEncryption 和 EnrollmentAgentOffline 为 SCEP 创建了 2 个服务证书。
这两个 SCEP 证书已过期,我们正在努力更新/申请新的证书。
尝试使用具有相同密钥的证书 MMC snap 来更新它们(所有任务->高级操作->使用相同密钥更新此证书)会产生错误
“无法找到注册策略服务器”
我尝试按照以下 URL 上的说明来更新服务证书,但它们似乎不适合我们所处的场景(可能是独立 CA)。
具体来说,第 10、11 步开始偏离
- 右键单击,选择“所有任务”,然后单击“选择新证书”。(我没有选择新证书选项)。
- 在“证书注册”对话框中,单击“下一步”。(在我选择的所有续订/请求任务上我都会收到上述错误)
在这种情况下,有人能帮助我解决错误并告诉我如何更新这些服务证书吗?
答案1
事实证明,独立 CA 方案是导致该问题的原因。证书 MMC GUI 中内置的续订和证书请求流程需要策略 Web 服务器(该服务器无法在独立 CA 上运行,因为它需要域权限才能安装)。
因此,您需要手动删除、请求和接受新证书。找到一篇博客文章,其中详细介绍了如何使用 certutil 手动执行此操作。
答案2
我刚刚遇到了同样的问题。我认为您引用的 TechNet 文章中的“选择新证书”是一个错误,它应该是“要求新证书”。无论如何,这些说明不适用于独立 CA。
我没有尝试手动更新证书,而是通过从 Active Directory 证书服务角色中删除 NDES 服务并重新添加 NDES 服务来解决问题,从而创建了两个新证书。
这并不理想,因为它需要重新启动一次服务器才能完成 NDES 服务的删除,但它以最小的努力实现了预期的结果。