Eu tenho um aplicativo LDAP que precisa se comunicar com o Active Directory via LDAPS (LDAP sobre SSL). Instalei os Serviços de Certificados do Active Directory em um Controlador de Domínio de teste (sei que isso não é uma prática recomendada, mas meu cliente não tem uma licença do Windows Server sobressalente para um servidor de CA autônomo).
A partir daqui eu li e segui estas instruções:
Se você instalar a função AD CS e especificar o tipo de instalação como Enterprise em um controlador de domínio, todos os controladores de domínio na floresta serão configurados automaticamente para aceitar LDAP sobre SSL
O certificado emitido foi realmente carregado no armazenamento de certificados DC e os aplicativos compatíveis com LDAPS estão funcionando.
Minha dúvida é: o certificado será renovado/recadastrado automaticamente ou preciso cuidar dele manualmente? O que preciso verificar para ter certeza de que a renovação automática funcionará corretamente?
Com o ADCS Enterprise CA, você pode utilizar o registro automático de certificados que pode solicitar e renovar automaticamente certificados para usuários e computadores. Escrevi um novo whitepaper sobre como funciona em detalhes: Registro automático de certificados no Windows Server 2016 . Há uma cópia para download do documento.
Resumidamente, é feito da seguinte forma:
Os dois últimos itens implicam que você precisa esperar até que o GPO seja aplicado aos clientes.
Atualizar
Em sua pergunta específica, você só precisa configurar o GPO de registro automático e publicar
Kerberos Authenticationo modelo na CA se ainda não tiver sido adicionado. Este teamplte já possui todas as permissões necessárias.