Active-Directory
Active Directory 證書服務自動更新
我有一個 LDAP 應用程序,它需要通過 LDAPS(LDAP over SSL)與 Active Directory 通信。我在測試域控制器上安裝了 Active Directory 證書服務(我知道這不是最佳實踐,但我的客戶沒有獨立 CA 伺服器的備用 Windows Server 許可證)。
從這裡我閱讀並遵循了這些說明:
如果您在域控制器上安裝 AD CS 角色並將設置類型指定為 Enterprise,則林中的所有域控制器將自動配置為接受 LDAP over SSL
頒發的證書確實已載入到 DC 證書儲存中,並且支持 LDAPS 的應用程序正在執行。
我的問題是: 證書會自動更新/重新註冊,還是我需要手動處理?我需要檢查以確保自動續訂能夠正常工作?
借助 ADCS Enterprise CA,您可以利用證書自動註冊功能,自動為使用者和電腦請求和更新證書。我寫了一份新的白皮書,詳細介紹了它的工作原理:Certificate Autoenrollment in Windows Server 2016。該文件有一個可下載的副本。
簡而言之,它是按如下方式完成的:
- 按照配置自動註冊策略部分中的說明在 GPO 中配置自動註冊策略。
- 將 GPO 應用到適當的容器(OU、域、站點)。
- 找到您要部署的合適的證書模板。轉到安全選項卡並授予適當的組(使用者、電腦或 DC)以下權限:讀取、註冊和自動註冊。
- 將模板發佈到 CA 以供發布。
- ????
- 利潤
最後兩項意味著您必須等到 GPO 應用於客戶端。
注意:為了自動註冊成功,證書的主題名稱必須從 Active Directory 建構。
更新
在您的特定問題中,您只需配置自動註冊 GPO 並將
Kerberos Authentication
模板發佈到 CA(如果尚未添加)。該團隊已經擁有所有必需的權限。