Estou tentando configurar a renovação baseada em chave usando o WES para dar suporte à renovação automática de certificados em computadores de grupo de trabalho e domínios não confiáveis.
Configurei o CEP (Certificate Authenticatoin, Key Based Renewal) e o CES (Certificate Authenticatoin, Key Based Renewal, Read Only Mode).
O cliente é um servidor associado a um domínio não confiável. Consegui configurar o CEP através do GPO. E posso renovar um certificado manualmente através do MMC.
No entanto, o certificado não é renovado automaticamente. Eu recebo eventid 1003 - que o certificado está prestes a expirar. E o registro automático é habilitado através do GPO. E se eu tentar renovar manualmente - funciona.
Alguma ideia?
Com base em seus comentários, o comportamento que você enfrenta é esperado. O cliente não tem
Autoenrollpermissões no modelo de certificado na floresta estrangeira.Como você pode registrar e renovar certificados manualmente, você pode ir ao servidor CA (ou pedir ao administrador da PKI para fazer isso) e procurar a identidade usada para autenticar sua solicitação (
Requester Namecoluna). Essa conta de usuário deve receberAutoenrollpermissões ou adicionar a um grupo global ou universal que tenha as permissões apropriadas nesse modelo. Em seguida, exclua o cache de política local e executecertutil -pulsepara acionar o registro automático e tente renovar o certificado.Observe que, se houver mais certificados novos com base no mesmo modelo, o registro automático não o renovará até que 80% da vida útil do certificado tenha passado ou a revisão principal do modelo seja atualizada.