Certificate-Authority
設置基於密鑰的續訂時自動續訂不起作用 - Cep/CES
我正在嘗試使用 WES 配置基於密鑰的續訂,以支持工作組電腦和不受信任域中證書的自動續訂。
我已經配置了 CEP(證書驗證,基於密鑰的更新)和 CES(證書驗證,基於密鑰的更新,只讀模式)。
客戶端是加入非受信任域的伺服器。我通過 GPO 成功設置了 CEP。而且我可以通過 MMC 手動更新證書。
但是證書不會自動更新。我確實得到 eventid 1003 - 證書即將到期。並通過 GPO 啟用自動註冊。如果我嘗試手動更新 - 它可以工作。
有任何想法嗎?
根據您的評論,您所面臨的行為是預期的。客戶對外國林中的證書模板沒有
Autoenroll
權限。由於您可以手動註冊和更新證書,您可以轉到 CA 伺服器(或要求 PKI 管理員執行此操作)並查找用於驗證您的請求的身份(
Requester Name
列)。此使用者帳戶必須被授予Autoenroll
權限或添加到對該模板具有適當權限的全域或通用組。然後刪除本地策略記憶體並執行certutil -pulse
以觸發自動註冊並嘗試更新證書。請注意,如果有更多基於相同模板的新證書,則自動註冊將不會更新它,直到通過了 80% 的證書生命週期或更新了模板主要修訂版。