如何区分证书模板中的用户证书或计算机证书?我目前有一个为网络服务器 SSL 证书设计的模板,但是,用户和计算机都可以请求它。我已经用计算机和用户 MMC-snapin 对此进行了测试。我想知道如何将证书模板仅限制在计算机上,而不是用于用户。
亲切的问候,
在不久的将来,我将负责构建一个使用 HSM 的第 2 层 ADCS PKI,谁能告诉我在构建 PKI 时我必须做哪些不同的事情,以及 HSM 如何融入整个 PKI?(Win 2016 或 Win 2019 Server)我在构建第 2 层 ADCS PKI 方面有很多经验,但我以前从未使用过 HSM。
我的任务是实施具有 2 个从属 CA 的 2 层 PKI (ADCS) 以提供高可用性。现在我想知道我是否有 2 个具有相同证书模板的子节点处于活动状态,如何确定哪个 CA 将处理请求。(不存在负载平衡器)
我是否可以期待一个均匀的流量,或者大部分时间会使用 1 个 CA?
PKI 将使用 Windows Server 2019 构建
我正在实验室环境中设置 ADCS PKI,我正在测试 RDP 证书的使用,以防止常见的 RDP 自签名证书警告,并实现更高的安全性。我已经为此使用了本指南。通过使用组策略和证书模板,服务器会自动获得所需的证书。现在我似乎找不到任何关于这些证书是否也会自动更新的信息?还是我需要其他东西让他们更新,比如使用模板 - 更新所有证书持有者功能?
我想知道当 CA 证书在 1 年内到期时(例如)有效期为 2 年的证书模板将颁发证书会发生什么。
我能想到两件可能发生的事情,但这只是猜测,这就是我想知道的原因。我认为可能会发生以下情况:
- 您可以发出某种通知。
- 颁发的证书的有效期为 1 年,而不是 2 年。
谁能告诉我会发生什么?
尽管我在安装我的下属时在我的 CAPolicy.inf 中使用了“LoadDefaultTemplates=0”,但我注意到它在设置后仍然颁发了 1 个证书。这是 CAExhange 证书,由它自己签发。现在我想知道这是否是默认行为?
我检查了 CA Exchange 模板,但没有看到任何计算机帐户(有问题的证书是发给计算机帐户的)。我还没有通过 GPO 启用自动注册。
我使用的设置非常简单:CA1 = 离线根 CA S1 = 下属颁发 CA
没有加载默认模板,如果我转到证书颁发机构 -> 证书模板,会看到这是空的。
所以现在我想知道 CAExchange 证书是如何颁发的?