我有一个 LDAP 应用程序,它需要通过 LDAPS(LDAP over SSL)与 Active Directory 通信。我在测试域控制器上安装了 Active Directory 证书服务(我知道这不是最佳实践,但我的客户没有独立 CA 服务器的备用 Windows Server 许可证)。
从这里我阅读并遵循了这些说明:
如果您在域控制器上安装 AD CS 角色并将设置类型指定为 Enterprise,则林中的所有域控制器将自动配置为接受 LDAP over SSL
颁发的证书确实已加载到 DC 证书存储中,并且支持 LDAPS 的应用程序正在运行。
我的问题是: 证书会自动更新/重新注册,还是我需要手动处理?我需要检查以确保自动续订能够正常工作?
借助 ADCS Enterprise CA,您可以利用证书自动注册功能,自动为用户和计算机请求和更新证书。我写了一份新的白皮书,详细介绍了它的工作原理:Certificate Autoenrollment in Windows Server 2016。该文件有一个可下载的副本。
简而言之,它是按如下方式完成的:
最后两项意味着您必须等到 GPO 应用于客户端。
更新
在您的特定问题中,您只需配置自动注册 GPO 并将
Kerberos Authentication模板发布到 CA(如果尚未添加)。该团队已经拥有所有必需的权限。