none
企业CA不自动颁发服务器证书

    问题

  • 今天偶然发现AD中的企业CA服务器里堆积了许多Pending Request,都是来自AD中的各台DC的。依稀记得以前好像都是应该自动签署颁发的,不知为什么现在会pending?网上查了一下,有种说法是将DC加入到Certificate Service DCOM Access组中,我试着照做了一下,似乎没用。

    另外,发现即使用域Administrator帐户手工续订IIS里的证书,也不像以前那样会自动签署了。

    这是怎么回事呢?

    2017年3月27日 5:46

全部回复

  • 今天偶然发现AD中的企业CA服务器里堆积了许多Pending Request,都是来自AD中的各台DC的。依稀记得以前好像都是应该自动签署颁发的,不知为什么现在会pending?

    你好,

    Auto-enrollment 需要给 client (用户/电脑对象) 启用Auto-enrollment 的组策略, 并且在证书模板上给对应的用户/电脑对象 Auto-enroll的权限。

    组策略配置方法请参考下面的文档,配置完毕之后,请运行 GPupdate /force 和 GPresult 来确认配置是否成功应用。

    Configure Autoenrollment in Group Policy

    https://technet.microsoft.com/en-us/library/cc771025(v=ws.10).aspx

    证书模板上的权限请参考下图:

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年3月28日 1:59
    版主
  • Dear Amy,

    感谢你的回复。

    我尝试修改证书模板,但发现模板的安全权限中没有Autoenroll这一项(下图),这是什么原因呢?

    2017年3月28日 8:55
  • Hi Stanley,

    我这边测试了一下,默认的 Domain Controller 证书模板确实没有 Auto-enroll 这个权限配置。

    请 duplicate 这个证书模板,然后就可以在新的模板上配置 Auto-enroll 权限了。

    新的模板配置完毕并且 publish 之后, 把默认的Domain Controller 证书模板上的 Enroll 权限清除掉,然后在 DC上运行 GPupdate /force 再检查一下 auto-enrollment 是否正常工作。

    Best Regards,

    Amy 


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年3月28日 9:04
    版主
  • Hi Amy,

    我duplicate了Web Server的证书模板,新模板名为OWA Server,权限和Web Server模板相同。

    但我在CA证书服务器的网页创建申请证书的请求时,模板列表中还是只能看到Web Server模板,没有OWA Server模板,这是为什么呢?

    2017年3月29日 3:55
  • Hi Stanley,

    请问证书模板修改权限过后有没有发布出来?

    下面有个截图:

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年3月30日 10:16
    版主