域控制器自动注册 - 更改颁发 CA

当域控制器自动更新上述证书时，他们是否知道根据域控制器所需的那些模板查看从属 CA 以更新/颁发新证书？

是的。注册客户端将首先枚举所有支持从 AD 请求模板的 CA。然后客户端将从该列表中选择随机 CA 来发送续订请求。也就是说，从根 CA 中删除所有模板很好，客户端将尝试另一个支持该模板的可用 CA。

ps 虽然我会考虑将企业根 CA（加入域）转换为独立根 CA（工作组成员），这样您就可以在大部分时间关闭根 CA，因为它与在线无关。您将每年打开一次或两次以发布 CRL 或当您需要签署从属 CA 证书时。但这是另一个问题，只是遵循最佳实践的好方法。

更新 1 (21.01.2022)

Microsoft Docs 页面未显示有关它如何枚举 CA 等的任何信息。

注册客户端调用通用IX509Enrollment::Enroll执行一系列调用（非常简化的步骤）：

使用[MS-XCEP] 的CA 发现

1. 从注册表加载策略列表。
2. 按PolicyId属性对策略进行分组。
3. 组按成本属性排序，然后按身份验证属性排序。Kerberos 身份验证具有更高的优先级。其余组以任意顺序放置。
4. 通过调用IPolicy::GetPoliciesResponse web 方法查询每个策略。响应包含 CA Web 服务列表
5. 响应包含：调用者有权注册的证书模板列表和 CA 端点列表（实现[MS-WSTEP]协议）以及有关支持的证书模板的信息。
6. 准备空列表。
7. 对于每个排序的策略组：
8. 按成本属性排序 CA ，然后按身份验证属性。Kerberos 身份验证具有更高的优先级。其余组以任意顺序放置。消除调用者没有权限的 CA。以相同的顺序将有序的 CA 附加到列表中。
9. 重复 (8) 直到所有 CA 都添加到列表中。
10. 对于剩余列表中的每个 CA：
11. 生成证书请求并调用ICertRequest::Submit将请求提交给选定的 CA。
12. 重复 (11) 直到调用成功。

使用[MS-WCCE] 的CA 发现

1. 执行ICertConfig::Next的 do-while 循环调用以枚举所有自动发现的 CA（本地、在 AD 中注册、存储在共享目录中等）。这将生成所有可能的 CA 的列表。
2. 对于每个 CA 客户端，都使用作为参数进行ICertRequest2::GetCAProperty调用。消除离线 CA。CR_PROP_TEMPLATESpropID
3. （1）中获得的过滤器列表，用于排除不支持请求模板的 CA。
4. 如果配置了CA 站点感知，则筛选与客户端位于同一 ADDS 站点中的 CA 列表。如果未配置 CA 站点感知或客户端所在的同一 ADDS 站点中没有 CA，则不要过滤。
5. 调用ICertRequest::GetCACertificate以检索 CA 证书并验证每个证书。消除证书无效或不受信任的 CA。
6. 从剩余列表中选择任意 CA，生成证书请求并调用ICertRequest::Submit将请求提交给选定的 CA。

同样，注册客户端发现 CA 并提交证书请求是一个简化的任务序列。

更新 2

您知道我们替换 rootCA 后从现有 SubCA 颁发的现有证书会有什么影响吗？

只要客户端信任根 CA，实际上什么都没有。