我们的 AD 域中有两个中间企业 CA (Windows AD CS)。两个 CA 都只启用了证书颁发机构角色。
CA1 负责向工作站和用户颁发证书,并具有模板Workstation Auth。
CA2 负责向服务器颁发证书,并有一个模板Server Auth。
自动注册在我们域中的所有工作站和服务器上启用并且正在工作。
问题:
工作站应仅针对 CA1 进行自动注册
,服务器应仅针对 CA2 进行自动注册。
我想使用组策略来实现这一点。
我知道我可以只允许安全组成员在模板上自动注册,这会奏效。
但是,我更喜欢使用组策略的解决方案,因为我们将工作站和服务器组织在不同的 OU 中。我可以使用 OU 上的组策略来定位这两个组。安全组解决方案需要我们在此基础上管理两个新的安全组。
是否可以将工作站或服务器配置为仅从特定企业 CA 自动注册?如果可以使用组策略来实现,我对替代方案持开放态度。
假设我有一个 CSR,其中某些Subject字段不是根据 X.509 创建的 - Subject中有禁止字符,或者Country被提供为“England”。
有什么办法可以从中恢复吗?
我试过了:
我认为在这里“修复”糟糕的 CSR 是不可能的,但也许我错了?
我收到客户的请求,要求使用 ECDSA 安装 ADCS,同时使用特定的 ECC 曲线作为密钥 (bp384r1)。在创建新密钥并选择 CSP 时,ADCS 安装过程中未列出此曲线(只有 NIST ECDSA_P384 存在)。
我可以通过将密钥算法和 CSP 指定为“ECDSA_brainpoolP384r1,Microsoft Software Key Storage Provider”来创建叶证书。但是,这不会显示在 ADCS 安装 GUI 中。
我还尝试在安装 CA 之前将这些行添加到 capolicy.inf 但没有成功...:
[NewRequest]
KeyAlgorithm=ECDSA_brainpoolP384r1
ProviderName="Microsoft Software Key Storage Provider"
有没有办法将 KSP 密钥算法限制为特定列表,或者更改选择的默认 ECC 曲线?或者告诉 ADCS 使用我想要的特定密钥算法?
会为此提供任何帮助-谢谢!
我正在尝试使用 WES 配置基于密钥的续订,以支持工作组计算机和不受信任域中证书的自动续订。
我已经配置了 CEP(证书验证,基于密钥的更新)和 CES(证书验证,基于密钥的更新,只读模式)。
客户端是加入非受信任域的服务器。我通过 GPO 成功设置了 CEP。而且我可以通过 MMC 手动更新证书。
但是证书不会自动更新。我确实得到 eventid 1003 - 证书即将到期。并通过 GPO 启用自动注册。如果我尝试手动更新 - 它可以工作。
有任何想法吗?
我需要将我的一个 Active Directory 证书服务 (ADCS) 证书模板从架构 v2 更新到 v3,以支持 KSP 提供程序。看来我只能通过克隆模板来做到这一点(只有这样我才能选择 KSP)。
可以现场做吗?如果是这样,怎么做?
在我的 AD 环境中,我部署了一个为服务器提供 RDP 证书的模板。它设置在自动注册上。
问题是,大多数服务器都按我的预期工作:获得了证书,这对他们来说已经足够了。但是,很少有服务器每 12 小时获得一个新证书。我阅读了文章https://social.technet.microsoft.com/wiki/contents/articles/38085.certificate-autoenrollment.aspx并且我了解正在发生的事情,但我不明白为什么会发生这种情况 - 是什么触发了服务器请求一个新的证书,即使一个已经存在?
我不想在 AD 中发布证书,特别是因为只有少数服务器显示此异常 - 其他服务器都很好。以这种方式生成的所有证书仍然有效,并且私钥存在。