Certificate
在未載入預設模板的情況下使用 ADCS CAExchange 證書
儘管我在安裝我的下屬時在我的 CAPolicy.inf 中使用了“LoadDefaultTemplates=0”,但我注意到它在設置後仍然頒發了 1 個證書。這是 CAExhange 證書,由它自己簽發。現在我想知道這是否是預設行為?
我檢查了 CA Exchange 模板,但沒有看到任何電腦帳戶(有問題的證書是發給電腦帳戶的)。我還沒有通過 GPO 啟用自動註冊。
我使用的設置非常簡單:CA1 = 離線根 CA S1 = 下屬頒發 CA
沒有載入預設模板,如果我轉到證書頒發機構 -> 證書模板,會看到這是空的。
所以現在我想知道 CAExchange 證書是如何頒發的?
預設情況下,ADCS 不使用
CA Exchange
證書模板生成 CA Exchange 證書。相反,ADCS 對這些證書使用內置配置,有效期為 1 個月。這是正常和預期的行為,您不必擔心這一點。事實上,CA Exchange
證書是ADCS伺服器唯一無需安裝同名模板即可生成的證書。為什麼這樣做?PKI 執行狀況控制台 (
pkiview.msc
) 依賴 CA Exchange 證書來建構企業 CA 映射,如果未安裝模板,則會失敗。要解決此問題,Microsoft 允許 ADCS 在不安裝證書模板的情況下自動生成 CA Exchange 證書。