更新 Windows Server 2008 R2 上的 NDES 服务证书

更新 Windows Server 2008 R2 上的 NDES 服务证书

我们当前在 Windows 2008 R2 Enterprise 上使用 NDES 服务,其中同一个框也是独立的证书颁发机构。

在初始设置期间,NDES 基于模板 CEPEncryption 和 EnrollmentAgentOffline 为 SCEP 创建了 2 个服务证书。

这两个 SCEP 证书已过期,我们正在努力更新/申请新的证书。

尝试使用具有相同密钥的证书 MMC snap 来更新它们(所有任务->高级操作->使用相同密钥更新此证书)会产生错误

“无法找到注册策略服务器”

我尝试按照以下 URL 上的说明来更新服务证书,但它们似乎不适合我们所处的场景(可能是独立 CA)。

http://social.technet.microsoft.com/wiki/contents/articles/9063.network-device-enrollment-service-ndes-in-active-directory-certificate-services-ad-cs.aspx#Renewing_Service_Certificates

具体来说,第 10、11 步开始偏离

  1. 右键单击,选择“所有任务”,然后单击“选择新证书”。(我没有选择新证书选项)。
  2. 在“证书注册”对话框中,单击“下一步”。(在我选择的所有续订/请求任务上我都会收到上述错误)

在这种情况下,有人能帮助我解决错误并告诉我如何更新这些服务证书吗?

答案1

事实证明,独立 CA 方案是导致该问题的原因。证书 MMC GUI 中内置的续订和证书请求流程需要策略 Web 服务器(该服务器无法在独立 CA 上运行,因为它需要域权限才能安装)。

因此,您需要手动删除、请求和接受新证书。找到一篇博客文章,其中详细介绍了如何使用 certutil 手动执行此操作。

http://blogs.technet.com/b/askds/archive/2008/04/28/configuring-network-device-enrollment-service-for-windows-server-2008-with-custom-certificates.aspx

答案2

我刚刚遇到了同样的问题。我认为您引用的 TechNet 文章中的“选择新证书”是一个错误,它应该是“要求新证书”。无论如何,这些说明不适用于独立 CA。

我没有尝试手动更新证书,而是通过从 Active Directory 证书服务角色中删除 NDES 服务并重新添加 NDES 服务来解决问题,从而创建了两个新证书。

这并不理想,因为它需要重新启动一次服务器才能完成 NDES 服务的删除,但它以最小的努力实现了预期的结果。

相关内容