尽管我在安装我的下属时在我的 CAPolicy.inf 中使用了“LoadDefaultTemplates=0”,但我注意到它在设置后仍然颁发了 1 个证书。这是 CAExhange 证书,由它自己签发。现在我想知道这是否是默认行为?
我检查了 CA Exchange 模板,但没有看到任何计算机帐户(有问题的证书是发给计算机帐户的)。我还没有通过 GPO 启用自动注册。
我使用的设置非常简单:CA1 = 离线根 CA S1 = 下属颁发 CA
没有加载默认模板,如果我转到证书颁发机构 -> 证书模板,会看到这是空的。
所以现在我想知道 CAExchange 证书是如何颁发的?
默认情况下,ADCS 不使用
CA Exchange证书模板生成 CA Exchange 证书。相反,ADCS 对这些证书使用内置配置,有效期为 1 个月。这是正常和预期的行为,您不必担心这一点。事实上,CA Exchange证书是ADCS服务器唯一无需安装同名模板即可生成的证书。为什么这样做?PKI 运行状况控制台 (
pkiview.msc) 依赖 CA Exchange 证书来构建企业 CA 映射,如果未安装模板,则会失败。要解决此问题,Microsoft 允许 ADCS 在不安装证书模板的情况下自动生成 CA Exchange 证书。