我有一个必须需要经理批准的证书模板(自动注册)。
为此,我选中了颁发要求选项卡中的CA 证书管理器批准复选框。
计算机会自动注册,并且证书被放置在CA的挂起队列中。
我的愿望是,一旦挂起的证书被手动批准,证书应该更新,或者如果模板主要版本增加,则无需经理批准。但我无法让它工作。
当我增加证书的主要版本时,该请求永远不会自动发出,而是再次放入待处理队列以进行手动发出。
我尝试将与注册相同的标准更改为有效的现有证书,但这并没有改变任何东西。
为了加快我的故障排除速度,我曾经certutil -pulse在请求计算机上启动自动注册过程。
编辑:
受影响服务器上的自动注册策略:
我代表 OP (TrackingID#2201120040008993) 向 Microsoft 提出了有关该问题的支持案例。正如我在评论中指出的那样,OP 的设置是正确的,我能够在我的环境中重现。支持票证是根据 [MS-WCCE] 协议§3.2.1.4.2.1.4.2.2规范打开的。
Microsoft 支持能够确认该问题。进一步调查发现,Microsoft CA 实施 [MS-WCCE] §3.2.2.6.2.1.4.5.7要求在正确
CT_FLAG_PEND_ALL_REQUESTS时忽略标志。CT_FLAG_PREVIOUS_APPROVAL_VALIDATE_REENROLLMENT但是,进一步调查发现,Microsoft CA 在内部请求处理例程之一中失败Bad Renewal Name,尝试将请求者 UPN 名称绑定到存储在 Active Directory 中的名称。但是,由于它是计算机模板,因此 UPN 不可用(因此出现错误)并且续订程序被中止并执行初始请求程序:请求置于待处理请求中。并且此 UPN 绑定条件未在任何地方记录。我为用户模板设置了相同的场景(在证书中记下 UPN)并且效果很好:初始请求被放置在待处理的请求中,续订自动续订并颁发证书。
在当前状态下,“有效的现有证书”选项仅适用于用户模板,不适用于计算机模板。没有可用的解决方法。
我将继续与 Microsoft 支持人员进行对话,并将在有新信息时更新此回复。
高温高压