与任何 IT 环境一样,Web 服务器证书的数量在不断增加。随着持续时间缩短至 1 年,如果此类流程未实现自动化,则管理工作量会同时增加。目前我们有一个基于 MS ADCS 的简单 PKI。
我从来没有将 Web 服务器(主要是带有 IIS、Apache、Tomcat...的 Windows Server)证书的颁发委托给 Web 服务器,因为我无法控制在使用 Microsoft 板载资源的 Web 服务器请求中指定了哪个域。即使您仍然可以将展览限制在某些群体中。
我很想知道其他人的情况如何,以及其他人是否也越来越多地达到此处所述的地步。从 CA 的角度来看,我宁愿有一个可以控制哪些服务器请求哪个 Web 服务器证书的生命周期。从纯粹的管理和成本角度来看,很容易为所有人发布模板。
一旦 CA 管理员角色给予初始批准,您应该将模板配置为自动重新注册:
在您的模板上,您应该将初始颁发要求设置为CA 证书管理器批准,因为您已经拥有。
接下来,将模板的Issuance Requirement设置为允许使用Valid existing certificate重新注册,并将Subject Name设置为Use subject information from existing certificates for autoenrollment renewal requests。
确保您的组策略已设置:证书服务客户端 - 自动注册设置以启用注册新证书、更新过期证书、处理待处理的证书请求并删除已吊销的证书以及更新和管理使用 Active Directory 中的证书模板的证书。
您现在需要批准初始颁发,但客户端和 CA 将自动续订。您仍然需要在 IIS 上配置绑定。
您可能需要检查您的证书政策是否允许这样做。有些人可能会限制自动重新注册的次数。
请注意,一年左右的限制仅适用于公共 CA,因此您的内部 CA 可以在有效期方面做他们想做的,当然要遵守您的证书策略中的控制。