私はドメイン内に存在する PKI サーバー (AD CS) を作成しました。
ドメイン コントローラーはそこから DomainController 証明書を取得しました。
その後、ドメイン内にないルート CA と、ドメイン内に存在する従属 CA を作成したほうがよいと考えました。
そこで、最初のPKIサーバーをアンインストールする必要があり、次の操作を実行しました。Microsoft からのガイド(基本的にPKIサーバーとPKIに属するすべてのADオブジェクトを削除します)
その後、私はこのビデオ多層 PKI 構造を作成します。これはうまく機能し、起動して実行し、コンピューターとユーザーの証明書を作成します。また、Active Directory 公開キー サービス、AIA、CDP などにも正しく配置されます。
現在の問題は、ドメイン コントローラーが新しい PKI サーバーからの証明書を要求しないことです。ドメイン コントローラーにアクセスすると、Cert:\LocalMachine\My古い PKI サーバーからのドメイン コントローラー証明書がまだ保持されています。
私の質問は次のとおりです:
- 新しい PKI サーバーから証明書が自動的に取得されないのはなぜですか?
- 新しい PKI サーバーから証明書を取得するように強制するにはどうすればよいですか?
- 証明書ストア内の古い証明書を削除できますか?
DC は Server Core 2019、PKI は Server 2022
答え1
次のコマンドは、ローカル サーバーに PKI に接続して新しい証明書を取得するように指示します。最初に古い証明書を削除してから、コマンドを実行できます。
certutil -pulse