我正在寻求任何熟悉 ADCS 的人的澄清。

在查看 AD 对象详细信息时，我试图理解为什么我会在证书的应用程序策略部分看到 3DES。

具体来说这个属性： > s PKI-Symmetric-Algorithm PZPWSTR3DES `

生产此产品的步骤：

• Windows 2022 Server、ADCS 服务
• 模板从 Web 服务器默认复制

提取 AD 对象以供审核

ldifde -m -v -d “CN=customwebserver,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=AD,DC=ORGDOMAIN,DC=TLD” -f customwebserver.ldf

这是报告的对象

dn: CN=ORGWebServer,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=AD,DC=ORG,DC=TLD
changetype: add
cn: ORGWebServer
displayName: ORG Web Server
distinguishedName: 
 CN=ORGWebServer,CN=Certificate Templates,CN=Public Key Services,CN=S
 ervices,CN=Configuration,DC=AD,DC=ORG,DC=TLD
dSCorePropagationData: 20230506203143.0Z
dSCorePropagationData: 16010101000000.0Z
flags: 131649
instanceType: 4
msPKI-Cert-Template-OID: 
 1.3.6.1.4.1.311.21.8.8801485.870485.13651088.9531739.7367544.199.12269436.1006
 0170
msPKI-Certificate-Application-Policy: 1.3.6.1.5.5.7.3.1
msPKI-Certificate-Name-Flag: 1
msPKI-Enrollment-Flag: 0
msPKI-Minimal-Key-Size: 2048
msPKI-Private-Key-Flag: 101056528
msPKI-RA-Application-Policies: 
 msPKI-Asymmetric-Algorithm`PZPWSTR`RSA`msPKI-Hash-Algorithm`PZPWSTR`SHA256`msP
 KI-Key-Usage`DWORD`16777215`msPKI-Symmetric-Algorithm`PZPWSTR`3DES`msPKI-Symme
 tric-Key-Length`DWORD`168`
msPKI-RA-Signature: 0
msPKI-Supersede-Templates: WebServer
msPKI-Template-Minor-Revision: 34
msPKI-Template-Schema-Version: 4
name: ORGWebServer
objectCategory: 
 CN=PKI-Certificate-Template,CN=Schema,CN=Configuration,DC=AD,DC=ORG,
 DC=TLD
objectClass: top
objectClass: pKICertificateTemplate
pKICriticalExtensions: 2.5.29.15
pKIDefaultKeySpec: 1
pKIExpirationPeriod:: AEAepOhl+v8=
pKIExtendedKeyUsage: 1.3.6.1.5.5.7.3.1
pKIKeyUsage:: oAA=
pKIMaxIssuingDepth: 0
pKIOverlapPeriod:: AICmCv/e//8=
revision: 100
showInAdvancedViewOnly: TRUE
uSNChanged: 386490
uSNCreated: 14307
whenChanged: 20230506203143.0Z
whenCreated: 20220307012740.0Z

在我看来，会话使用的是 3DES，而不是 AES256 之类的？

应用程序策略客户端身份验证 ALG

以前有人见过或关注过这个吗？

我还无法通过 Google 搜索来确定“msPKI-Symmetric-Algorithm”是否仅用于交换过程、证书请求计算机和证书服务器之间的密钥存档，或者使用此证书的两个主机之间的数据保护。

我希望得到一些见解，谢谢您的宝贵时间。

更新

也许我回答我自己的问题，但这是我能找到的最好的信息来源：

msPKI-Symmetric-Algorithm：如果存在此属性类型，则客户端必须使用此属性中指定的算法来加密与请求中的公钥对应的私钥，同时生成密钥存档注册请求，如 sectionLooks to me 中指定的仅当注册的证书要存档密钥时，这才重要。

不过，允许仅以 3DES 加密的私钥发送到 CA 是否是最佳实践？

我想我应该将这些值更改为 AES 和 256，看看它是否会损坏。

仍然有趣的是，这是默认值。n 1.3.2.1。此外，客户端应该使用此算法来加密 Client_HardwareKeyInfo ADM 元素，如第 3.1.1.4.3.4.1.1 节中所述。<45> 如果此属性类型不存在，客户端可以根据本地策略选择默认值。<46>

来自协议文档：https://view.officeapps.live.com/op/view.aspx ?src=https%3A%2F%2Fwinprotocoldoc.blob.core.windows.net%2Fdevelopmentwindowsarchives%2FMS-WCCE%2F%255BMS -WCCE%255D-210625.docx&wdOrigin=BROWSELINK

我们在 Windows Server 2019 上运行 Microsoft 证书颁发机构。我们通过 MDM 向 Android 设备颁发证书。Android 设备用户使用需要客户端证书的 Chrome Web 浏览器（在 Android 上）浏览到 Web 应用程序（由 Apache 托管，在 PHP 8 中实现）。

我们正在安装一个具有 Microsoft OCSP 响应者角色的单独 Windows Server 2019 实例，以验证/验证提交给 Apache Web 服务器的客户端证书是否有效。Apache 有几个指令来处理 OCSP 验证。我们还想在 PHP 中验证证书以提高安全性。

根据我阅读多个 RFC 和 Microsoft 技术文档的研究，Microsoft OCSP Responder 似乎通过引用 CRL 来验证证书的吊销状态。

如果证书已从 CA 中删除而不是吊销，Microsoft OCSP 响应程序如何验证证书？如果已删除且未撤销，它们将不会显示在 CRL 中。

我在这里错过了什么吗？Microsoft OCSP 响应程序是否会根据 CA 数据库验证序列号及其吊销状态？

我有一个 Windows Server，它在证书到期日期前 36/37 天开始记录此警告事件，我想了解什么控制/设置此时间以及如何配置它。

相关证书未自动注册。

最终，我想在证书到期前 X 天使用此事件发送通知。

事件查看器中此事件的来源是 CertificateServicesClient-Lifecycle-System>Operational

有关更多上下文，请参见此处： https ://social.technet.microsoft.com/wiki/contents/articles/14250.certificate-services-lifecycle-notifications.aspx

我们有一个 Microsoft Active Directory 证书服务企业CA。

安装服务后，会在其中创建一个 AD 容器CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=ad,DC=example,DC=com

我们的 CDP 仅支持 http。没有添加 LDAP 路径。我应该保留还是移除这个容器？

我们正在清理我们的 Windows PKI/CA 环境并用新服务器替换我们的根 CA。当前的根 CA 多年来一直在颁发以下证书模板（除了从属证书模板）：

• Kerberos 身份验证
• 域控制器身份验证（我们知道这已被 Kerberos 身份验证模板取代）
• 域控制器（我们知道现在已被取代）
• 目录电子邮件复制

从属 CA 还具有“已发布”的模板。

我们知道这并不理想，新的根 CA 将被设置为仅颁发从属证书模板。

问题：

在从根CA颁发的上述模板中删除（不删除模板本身，只是将其从该根CA颁发的模板中删除）后，当域控制器自动更新上述证书时，他们是否会知道查看从属CA根据域控制器所需的模板更新/颁发新证书？ 或者我们还需要做些什么来主动向环境中的 DC 颁发新证书？现有证书不会被吊销，因此在重新注册之前它们将一直有效，但我们很好奇如果原始证书是由旧根 CA 颁发的，重新注册是否会失败。我们不确定 DC 是如何“决定”的

附加附加问题：

您知道我们替换 rootCA 后从现有 SubCA 颁发的现有证书会有什么影响吗？我们正在根据以下内容将 rootCA 迁移到一个新名称：逐步将 CA 迁移到新服务器——评论中的其他人基本上问了我关于现有证书的问题，但没有回复。我的猜测是，只要客户端在其受信任的根存储中仍然有旧的 RootCA，在中间存储中仍然有 SubCA，他们应该仍然有一个良好的证书链，直到证书过期，但我想提前知道的时间。

我们的 AD 域中有两个中间企业 CA (Windows AD CS)。两个 CA 都只启用了证书颁发机构角色。

CA1 负责向工作站和用户颁发证书，并具有模板Workstation Auth。

CA2 负责向服务器颁发证书，并有一个模板Server Auth。

自动注册在我们域中的所有工作站和服务器上启用并且正在工作。

问题：

工作站应仅针对 CA1 进行自动注册
，服务器应仅针对 CA2 进行自动注册。

我想使用组策略来实现这一点。

我知道我可以只允许安全组成员在模板上自动注册，这会奏效。

但是，我更喜欢使用组策略的解决方案，因为我们将工作站和服务器组织在不同的 OU 中。我可以使用 OU 上的组策略来定位这两个组。安全组解决方案需要我们在此基础上管理两个新的安全组。

是否可以将工作站或服务器配置为仅从特定企业 CA 自动注册？如果可以使用组策略来实现，我对替代方案持开放态度。

我有一个必须需要经理批准的证书模板（自动注册）。

为此，我选中了颁发要求选项卡中的CA 证书管理器批准复选框。

计算机会自动注册，并且证书被放置在CA的挂起队列中。

我的愿望是，一旦挂起的证书被手动批准，证书应该更新，或者如果模板主要版本增加，则无需经理批准。但我无法让它工作。

当我增加证书的主要版本时，该请求永远不会自动发出，而是再次放入待处理队列以进行手动发出。

我尝试将与注册相同的标准更改为有效的现有证书，但这并没有改变任何东西。

为了加快我的故障排除速度，我曾经certutil -pulse在请求计算机上启动自动注册过程。

编辑：

受影响服务器上的自动注册策略：

我正在一起学习证书和 HTTPS，4 天后我不知道如何设置为受信任。在我的实验室环境中。我有一个具有 CA 角色的 Windows 服务器。

以前我为我的服务器安装了 VM-Dell OpenManage。它具有用于请求的图形界面和用于 HTTPS 访问的导入证书。我成功生成了一个证书签名请求并从我的 Windows CA 服务器（https://xxxx/certsrv/）获得了一个证书，它在 2 分钟内完成。

我想我可以在 apache2 网络服务器（Ubunut20.04）上试试这个。好吧，现在我被卡住了，仍然不知道如何让它工作。

1.目前（在〜50个openssl req之后）我使用这些命令请求证书：

openssl req -new -newkey rsa:2048 -nodes -addext “subjectAltName = DNS:*.mydomain.local” -keyout serverkey.key -out serverreq.csr

2.我从浏览器https://xxxx/certsrv/打开我的 windows CA 服务器并请求证书-->高级证书请求-->粘贴 serverreq.csr 内容-->WebserverTemplate。下载证书。

3.回到linux，我的conf文件（/etc/apache2/sites-avaliable/mysite.conf）：长这样。

<VirtualHost _default_:443>
        Protocols h2 http/1.1
                ServerName  mysite.local
                ServerAlias www.mysite.local
                DocumentRoot /var/www/html/mysite
                SSLEngine on
                SSLCertificateFile      /etc/ssl/certandkey/myservercert.crt
                SSLCertificateKeyFile   /etc/ssl/certandkey/myserverkey.key
</VirtualHost>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet
<VirtualHost *:80>
    ServerName mysite.local
    Redirect / https://mysite.local/
</VirtualHost>

我是否需要配置#Server Certificate Chain: 和 #Certificate Authority (CA):？

阿帕奇正在运行

4. 在此之后，如果我打开它说的网页

Certificate - missing
This site is missing a valid, trusted certificate (net::ERR_CERT_COMMON_NAME_INVALID).

但是如果我打开 OpenManage 它会说

Certificate - valid and trusted
The connection to this site is using a valid, trusted server certificate issued by mydomain-DC-CA

两个证书都来自同一个 Windows CA 服务器。

5.我试图配置/etc/ssl/openssl.cnf，但我不太明白怎么做。如果我编辑一些东西，那么没有任何效果。

我的配置有什么问题，我该如何配置？有什么好的教程吗？90% 的时间谷歌只展示自签名证书和浏览器魔法。但我想用 Windows CA 配置它。

感谢帮助

对不起我的英语不好。

我的 AD 域名是 domainname.local。我已设置证书服务来为该域颁发证书。

我现在想将 domainname.com 添加为 AD 集成区域，并让证书服务也为这个新域颁发证书。

是否有可能做到这一点？如果是，我从哪里开始？任何想法将不胜感激。谢谢。

我们希望强制远程桌面使用基于特定命名模板的证书，而不是使用自签名证书。这适用于具有证书颁发机构服务器的林，但不适用于没有自己的 CA 服务器的林。我想避免硬编码证书指纹以在每台计算机上使用，因为每次更新证书时都需要更新。

我们有许多 Active Directory 域（每个林一个域），它们具有 Microsoft Enterprise CA（每个林一个 CA 服务器）。这些原始域/林相互不信任，并且相互之间有防火墙。我们所有的服务器都使用 Windows Server 2016。

证书模板在一个 CA 上生成，然后复制到其他 CA。没有任何证书模板具有扩展名“远程桌面身份验证”(1.3.6.1.4.1.311.54.1.2)。域中的每个服务器都有一个基于带有“服务器身份验证”扩展名的模板的证书，并且我们有一个 GPO，其设置“服务器身份验证证书模板”配置了我们要与 RDP 一起使用的证书模板的名称。这似乎在具有 CA 的域/林中运行良好。

为了支持第三方的应用程序开发，我们构建了额外的森林，每个原始森林一个，每个新森林都信任其对应的原始森林。开发林没有 CA - 它们的证书由 CA 在其相应的原始林中颁发。开发林具有 GPO，这些 GPO 通常是其相应原始林中 GPO 的副本。

如果我查看具有 CA 的主要森林中的证书，在属性“证书模板信息”中，显示的值的格式为“模板 = Display Name( OID)...”。在没有 CA 服务器的域中，显示的值采用“Template= OID”形式（即没有显示名称，只有 OID）。我相信这就是 GPO 设置在没有本地 CA 的森林中不起作用的原因。

我在这里使用了脚本：https : //www.sysadmins.lv/blog-en/export-and-import-certificate-templates-with-powershell.aspx 从具有 CA 的森林之一复制证书模板和 OID到相应的开发林。尽管该过程成功，但这无助于将 OID 解析为证书的显示名称，也没有使 GPO 设置正常工作。我注意到转移到新域时模板的 OID 不同（我查看了“公钥服务”下的 AD 站点和服务。我还尝试了该模块：https ://www.powershellgallery.com/packages/ ADCSTemplate/1.0.1.0给出了类似的结果。

有没有一种简单的方法，无需更改原始证书模板或创建新的，我们可以有一个 GPO（在所有森林之间复制）来指定要与 RDP 一起使用的证书模板，还是我们必须有单独的 GPO在具有证书模板的 OID 而不是显示名称的开发林中？