我有一個 LDAP 應用程序，它需要通過 LDAPS（LDAP over SSL）與 Active Directory 通信。我在測試域控制器上安裝了 Active Directory 證書服務（我知道這不是最佳實踐，但我的客戶沒有獨立 CA 伺服器的備用 Windows Server 許可證）。

從這裡我閱讀並遵循了這些說明：

如果您在域控制器上安裝 AD CS 角色並將設置類型指定為 Enterprise，則林中的所有域控制器將自動配置為接受 LDAP over SSL

頒發的證書確實已載入到 DC 證書儲存中，並且支持 LDAPS 的應用程序正在執行。

我的問題是： 證書會自動更新/重新註冊，還是我需要手動處理？我需要檢查以確保自動續訂能夠正常工作？

借助 ADCS Enterprise CA，您可以利用證書自動註冊功能，自動為使用者和電腦請求和更新證書。我寫了一份新的白皮書，詳細介紹了它的工作原理：Certificate Autoenrollment in Windows Server 2016。該文件有一個可下載的副本。

簡而言之，它是按如下方式完成的：

1. 按照配置自動註冊策略部分中的說明在 GPO 中配置自動註冊策略。
2. 將 GPO 應用到適當的容器（OU、域、站點）。
3. 找到您要部署的合適的證書模板。轉到安全選項卡並授予適當的組（使用者、電腦或 DC）以下權限：讀取、註冊和自動註冊。
4. 將模板發佈到 CA 以供發布。
5. ????
6. 利潤

最後兩項意味著您必須等到 GPO 應用於客戶端。

注意：為了自動註冊成功，證書的主題名稱必須從 Active Directory 建構。

---

更新

在您的特定問題中，您只需配置自動註冊 GPO 並將Kerberos Authentication模板發佈到 CA（如果尚未添加）。該團隊已經擁有所有必需的權限。

引用自：https://serverfault.com/questions/1006340