CryptoDan Asked: 2021-03-02 12:38:14 +0800 CST2021-03-02 12:38:14 +0800 CST 2021-03-02 12:38:14 +0800 CST 设置基于密钥的续订时自动续订不起作用 - Cep/CES 772 我正在尝试使用 WES 配置基于密钥的续订,以支持工作组计算机和不受信任域中证书的自动续订。 我已经配置了 CEP(证书验证,基于密钥的更新)和 CES(证书验证,基于密钥的更新,只读模式)。 客户端是加入非受信任域的服务器。我通过 GPO 成功设置了 CEP。而且我可以通过 MMC 手动更新证书。 但是证书不会自动更新。我确实得到 eventid 1003 - 证书即将到期。并通过 GPO 启用自动注册。如果我尝试手动更新 - 它可以工作。 有任何想法吗? certificate-authority ad-certificate-services active-directory-adcs 1 个回答 Voted Best Answer Crypt32 2021-03-03T13:51:46+08:002021-03-03T13:51:46+08:00 根据您的评论,您所面临的行为是预期的。客户对外国林中的证书模板没有Autoenroll权限。 由于您可以手动注册和更新证书,您可以转到 CA 服务器(或要求 PKI 管理员执行此操作)并查找用于验证您的请求的身份(Requester Name列)。此用户帐户必须被授予Autoenroll权限或添加到对该模板具有适当权限的全局或通用组。然后删除本地策略缓存并运行certutil -pulse以触发自动注册并尝试更新证书。 请注意,如果有更多基于相同模板的新证书,则自动注册将不会更新它,直到通过了 80% 的证书生命周期或更新了模板主要修订版。
根据您的评论,您所面临的行为是预期的。客户对外国林中的证书模板没有
Autoenroll权限。由于您可以手动注册和更新证书,您可以转到 CA 服务器(或要求 PKI 管理员执行此操作)并查找用于验证您的请求的身份(
Requester Name列)。此用户帐户必须被授予Autoenroll权限或添加到对该模板具有适当权限的全局或通用组。然后删除本地策略缓存并运行certutil -pulse以触发自动注册并尝试更新证书。请注意,如果有更多基于相同模板的新证书,则自动注册将不会更新它,直到通过了 80% 的证书生命周期或更新了模板主要修订版。