Ad-Certificate-Services

自動註冊並獲得經理批准,但自動批准重新註冊

  • February 7, 2022

我有一個必須需要經理批准的證書模板(自動註冊)。

為此,我選中了頒發要求選項卡中的CA 證書管理器批准複選框。

在此處輸入圖像描述 在此處輸入圖像描述

電腦會自動註冊,並且證書被放置在CA的掛起隊列中。

我的願望是,一旦掛起的證書被手動批准,證書應該更新,或者如果模板主要版本增加,則無需經理批准。但我無法讓它工作。

當我增加證書的主要版本時,該請求永遠不會自動發出,而是再次放入待處理隊列以進行手動發出。

我嘗試將與註冊相同的標準更改為有效的現有證書,但這並沒有改變任何東西。

為了加快我的故障排除速度,我曾經certutil -pulse在請求電腦上啟動自動註冊過程。

編輯:

受影響伺服器上的自動註冊策略:

在此處輸入圖像描述

我代表 OP (TrackingID#2201120040008993) 向 Microsoft 提出了有關該問題的支持案例。正如我在評論中指出的那樣,OP 的設置是正確的,我能夠在我的環境中重現。支持票針對

$$ MS-WCCE $$協議,§3.2.1.4.2.1.4.2.2規範。 Microsoft 支持能夠確認該問題。進一步調查發現 Microsoft CA 實施

$$ MS-WCCE $$ §3.2.2.6.2.1.4.5.7要求在正確CT_FLAG_PEND_ALL_REQUESTS時忽略標誌。CT_FLAG_PREVIOUS_APPROVAL_VALIDATE_REENROLLMENT但是,進一步調查發現,Microsoft CA 在內部請求處理常式之一中失敗Bad Renewal Name,嘗試將請求者 UPN 名稱綁定到儲存在 Active Directory 中的名稱。但是,由於它是電腦模板,因此 UPN 不可用(因此出現錯誤)並且續訂程序被中止並執行初始請求程序:請求置於待處理請求中。並且此 UPN 綁定條件未在任何地方記錄。 我為使用者模板設置了相同的場景(在證書中記下 UPN)並且效果很好:初始請求被放置在待處理的請求中,續訂自動續訂並頒發證書。

在目前狀態下,“有效的現有證書”選項僅適用於使用者模板,不適用於電腦模板。沒有可用的解決方法。

我將繼續與 Microsoft 支持人員進行對話,並將在有新資訊時更新此回复。

高溫高壓

引用自:https://serverfault.com/questions/1089781