Назад | Перейти на главную страницу

Автоматически обновлять сертификат: старый сертификат архивируется, но новый не выдается

Мы используем службы сертификатов Active Directory (AD CS) для выдачи сертификатов для внутренних веб-приложений. Мы можем вручную запросить сертификат в ЦС, и он будет выпущен без проблем. Групповая политика автоматической регистрации настраивается в соответствии с Вот.

Срок действия одного из выданных таким образом сертификатов скоро истечет, поэтому я искал способ автоматически обновлять истекающие сертификаты (без каких-либо ручных действий).

Из что я нашел в Интернете, необходимо включить опцию "Использовать информацию о теме из существующих сертификатов для запросов на продление автоматической регистрации", который мы впоследствии сделали на основе существующего шаблона сертификата, на котором основан этот сертификат.

(нам также пришлось изменить настройки совместимости на Центр сертификации: Windows Server 2008 R2 и Получатель сертификата: Windows 7 / Server 2008 R2, потому что раньше этот параметр был неактивен)

Через некоторое время после выбора этой опции сертификат, срок действия которого истекает, был заархивирован, но новый не был выпущен.

При второй попытке сегодня я разархивировал сертификат и добавил Автозапись разрешение на шаблон в соответствующую группу, но с тем же результатом.

Обновить: На самом сервере CA также находится веб-сайт IIS, поскольку он имеет Регистрация в центре сертификации через Интернет установлена ​​служба роли. Теперь я заметил, что сертификат для этого сервера должен был автоматически обновляться вскоре после включения указанной опции. Это также говорит мне, что шаблон не может быть проблемой, потому что он там работал.

Это именно то, что я хочу, но, к сожалению, я не могу заставить его работать на другом сервере.

Обновление 2: Теперь я хороший шаг вперед. Поскольку тестировать с двухлетним периодом действия сложно, я продублировал существующий шаблон и изменил срок действия на несколько часов. И угадайте, что! Сертификаты, выпущенные с использованием тестового шаблона, автоматически обновляются без проблем.

Обычно я думаю: «Что ж, это, вероятно, будет работать только для сертификатов, выпущенных после того, как изменение было внесено» - но это тоже не может быть так, потому что это работает для веб-сайта регистрации.

Я не могу долго тестировать с этим сертификатом, потому что он уже истекает завтра. Однако мне все равно хотелось бы знать, что мешает этому работать.

Если кто-то может дать правдоподобный ответ на этот вопрос, я все равно буду вознаграждать его.