Certificate

在未載入預設模板的情況下使用 ADCS CAExchange 證書

  • February 14, 2019

儘管我在安裝我的下屬時在我的 CAPolicy.inf 中使用了“LoadDefaultTemplates=0”,但我注意到它在設置後仍然頒發了 1 個證書。這是 CAExhange 證書,由它自己簽發。現在我想知道這是否是預設行為?

我檢查了 CA Exchange 模板,但沒有看到任何電腦帳戶(有問題的證書是發給電腦帳戶的)。我還沒有通過 GPO 啟用自動註冊。

我使用的設置非常簡單:CA1 = 離線根 CA S1 = 下屬頒發 CA

沒有載入預設模板,如果我轉到證書頒發機構 -> 證書模板,會看到這是空的。

所以現在我想知道 CAExchange 證書是如何頒發的?

預設情況下,ADCS 不使用CA Exchange證書模板生成 CA Exchange 證書。相反,ADCS 對這些證書使用內置配置,有效期為 1 個月。這是正常和預期的行為,您不必擔心這一點。事實上,CA Exchange證書是ADCS伺服器唯一無需安裝同名模板即可生成的證書。

為什麼這樣做?PKI 執行狀況控制台 ( pkiview.msc) 依賴 CA Exchange 證書來建構企業 CA 映射,如果未安裝模板,則會失敗。要解決此問題,Microsoft 允許 ADCS 在不安裝證書模板的情況下自動生成 CA Exchange 證書。

引用自:https://serverfault.com/questions/953885