ラボ/教育環境では、Windows 2012R2マシンをドメインコントローラとして設定し、636でLDAPSを有効にする必要があります。ADCSもインストールする必要があるため、ADCSはLDAPSサービスで証明書を自動生成します。
ただし、証明書は 1 年で期限切れになります。1 年が経過すると、何らかの方法で証明書が自動的に更新されるメカニズムはありますか?
これに対する答えが見つからないようです。
それとも手動で証明書を設定する必要がありますかこのような有効期限がもっと遠いですか?
答え1
Active Directory 証明書サービスでは、証明書の有効期限が切れる前に証明書を自動更新するように構成できます。この機能 (すべての Windows ボックスに付属) は、証明書の自動登録と呼ばれます。
自動登録機能を有効にする方法を説明するリンクは次のとおりです (デフォルトでは無効になっています)。https://technet.microsoft.com/ja-jp/library/cc770546.aspx
この場合、Kerberos 認証証明書テンプレート (LDAPS と互換性がある) に基づく証明書を使用し、自動登録 GPO を有効にするだけで十分です。証明書テンプレートには、エンタープライズ ドメイン コントローラー グローバル グループの自動登録権限が既に含まれています。GPO が適切に構成されている場合、ドメイン コントローラーは、既存の証明書の有効期間の 80% が経過すると、LDAPS 証明書を更新します。
自動登録とは何か、どのように機能するかを詳しく説明したリンクを以下に示します (参考)。https://technet.microsoft.com/ja-jp/library/cc778954(v=ws.10).aspx より