在未載入預設模板的情況下使用 ADCS CAExchange 證書

儘管我在安裝我的下屬時在我的 CAPolicy.inf 中使用了“LoadDefaultTemplates=0”，但我注意到它在設置後仍然頒發了 1 個證書。這是 CAExhange 證書，由它自己簽發。現在我想知道這是否是預設行為？

我檢查了 CA Exchange 模板，但沒有看到任何電腦帳戶（有問題的證書是發給電腦帳戶的）。我還沒有通過 GPO 啟用自動註冊。

我使用的設置非常簡單：CA1 = 離線根 CA S1 = 下屬頒發 CA

沒有載入預設模板，如果我轉到證書頒發機構 -> 證書模板，會看到這是空的。

所以現在我想知道 CAExchange 證書是如何頒發的？

預設情況下，ADCS 不使用CA Exchange證書模板生成 CA Exchange 證書。相反，ADCS 對這些證書使用內置配置，有效期為 1 個月。這是正常和預期的行為，您不必擔心這一點。事實上，CA Exchange證書是ADCS伺服器唯一無需安裝同名模板即可生成的證書。

為什麼這樣做？PKI 執行狀況控制台 ( pkiview.msc) 依賴 CA Exchange 證書來建構企業 CA 映射，如果未安裝模板，則會失敗。要解決此問題，Microsoft 允許 ADCS 在不安裝證書模板的情況下自動生成 CA Exchange 證書。

引用自：https://serverfault.com/questions/953885