設置基於密鑰的續訂時自動續訂不起作用 - Cep/CES

我正在嘗試使用 WES 配置基於密鑰的續訂，以支持工作組電腦和不受信任域中證書的自動續訂。

我已經配置了 CEP（證書驗證，基於密鑰的更新）和 CES（證書驗證，基於密鑰的更新，只讀模式）。

客戶端是加入非受信任域的伺服器。我通過 GPO 成功設置了 CEP。而且我可以通過 MMC 手動更新證書。

但是證書不會自動更新。我確實得到 eventid 1003 - 證書即將到期。並通過 GPO 啟用自動註冊。如果我嘗試手動更新 - 它可以工作。

有任何想法嗎？

根據您的評論，您所面臨的行為是預期的。客戶對外國林中的證書模板沒有Autoenroll權限。

由於您可以手動註冊和更新證書，您可以轉到 CA 伺服器（或要求 PKI 管理員執行此操作）並查找用於驗證您的請求的身份（Requester Name列）。此使用者帳戶必須被授予Autoenroll權限或添加到對該模板具有適當權限的全域或通用組。然後刪除本地策略記憶體並執行certutil -pulse以觸發自動註冊並嘗試更新證書。

請注意，如果有更多基於相同模板的新證書，則自動註冊將不會更新它，直到通過了 80% 的證書生命週期或更新了模板主要修訂版。

引用自：https://serverfault.com/questions/1055568