Certificate-Authority

設置基於密鑰的續訂時自動續訂不起作用 - Cep/CES

  • March 2, 2021

我正在嘗試使用 WES 配置基於密鑰的續訂,以支持工作組電腦和不受信任域中證書的自動續訂。

我已經配置了 CEP(證書驗證,基於密鑰的更新)和 CES(證書驗證,基於密鑰的更新,只讀模式)。

客戶端是加入非受信任域的伺服器。我通過 GPO 成功設置了 CEP。而且我可以通過 MMC 手動更新證書。

但是證書不會自動更新。我確實得到 eventid 1003 - 證書即將到期。並通過 GPO 啟用自動註冊。如果我嘗試手動更新 - 它可以工作。

有任何想法嗎?

根據您的評論,您所面臨的行為是預期的。客戶對外國林中的證書模板沒有Autoenroll權限。

由於您可以手動註冊和更新證書,您可以轉到 CA 伺服器(或要求 PKI 管理員執行此操作)並查找用於驗證您的請求的身份(Requester Name列)。此使用者帳戶必須被授予Autoenroll權限或添加到對該模板具有適當權限的全域或通用組。然後刪除本地策略記憶體並執行certutil -pulse以觸發自動註冊並嘗試更新證書。

請注意,如果有更多基於相同模板的新證書,則自動註冊將不會更新它,直到通過了 80% 的證書生命週期或更新了模板主要修訂版。

引用自:https://serverfault.com/questions/1055568