Несмотря на то, что я использовал «LoadDefaultTemplates = 0» в моем CAPolicy.inf при установке моего подчиненного, я заметил, что он все еще выдал 1 сертификат после установки. Это сертификат CAExhange, который он выдал сам себе. Теперь мне интересно, это поведение по умолчанию или нет?
Я проверил шаблон CA Exchange, и я не вижу в нем учетных записей компьютеров (соответствующий сертификат выдается учетной записи компьютера). Еще я еще не включил автоматическую регистрацию через GPO.
Я использую довольно простую настройку: CA1 = Offline Root CA S1 = Подчиненный выдающий CA
Шаблоны по умолчанию не загружаются, если я перейду в Центр сертификации -> Шаблоны сертификатов, я вижу, что он пуст.
Итак, теперь мне интересно, как был выдан сертификат CAExchange?
По умолчанию ADCS не используют CA Exchange шаблон сертификата для создания сертификата CA Exchange. Вместо этого ADCS использует встроенную конфигурацию для этих сертификатов, срок действия которых составляет 1 месяц. Это нормальное и ожидаемое поведение, и вам не стоит об этом беспокоиться. По факту, CA Exchange сертификат - единственный сертификат, который может быть сгенерирован сервером ADCS без необходимости установки одноименного шаблона.
Зачем это делается? Консоль состояния PKI (pkiview.msc) полагается на сертификат CA Exchange для построения карты CA предприятия и завершится ошибкой, если не будут установлены шаблоны. Чтобы обойти это, Microsoft позволяет ADCS автоматически генерировать сертификат CA Exchange без установки шаблона сертификата.