So zwingen Sie den Domänencontroller, ein neues Zertifikat vom PKI-Server abzurufen

So zwingen Sie den Domänencontroller, ein neues Zertifikat vom PKI-Server abzurufen

Ich habe einfach einen PKI-Server (AD CS) erstellt, der sich innerhalb der Domäne befindet.

Meine Domänencontroller haben davon ein Domänencontroller-Zertifikat erhalten.

Danach dachte ich, dass es besser wäre, eine Stammzertifizierungsstelle zu erstellen, die sich nicht in der Domäne befindet, und eine untergeordnete Zertifizierungsstelle, die sich innerhalb der Domäne befindet.

Ich musste also meinen ersten PKI-Server deinstallieren. Ich folgte den folgendenAnleitung von Microsoft(Grundsätzliches Entfernen des PKI-Servers und aller AD-Objekte, die zu PKI gehören)

Danach folgte ichDieses Videoum eine mehrstufige PKI-Struktur zu erstellen. Das hat gut funktioniert, ich habe es zum Laufen gebracht und es erstellt Zertifikate für meine Computer und meine Benutzer. Es sitzt auch korrekt in meinen Active Directory Public Key Services, AIA, CDP usw.

Das Problem ist jetzt: Meine Domänencontroller fordern kein Zertifikat von meinem neuen PKI-Server an. Wenn ich zu ihnen gehe, Cert:\LocalMachine\Myhaben sie immer noch ein Domänencontroller-Zertifikat von meinem alten PKI-Server.

Meine Fragen sind:

  • Warum erhalten sie nicht automatisch ein Zertifikat von meinem neuen PKI-Server?
  • Wie zwinge ich sie, ein Zertifikat vom neuen PKI-Server zu beziehen?
  • Kann ich das alte Zertifikat in ihrem Zertifikatsspeicher löschen?

DCs sind Server Core 2019, PKI ist Server 2022

Antwort1

Der folgende Befehl weist den lokalen Server an, seine PKI zu kontaktieren, um ein neues Zertifikat abzurufen. Sie können zuerst das alte Zertifikat löschen und dann den Befehl ausführen.

certutil -pulse

verwandte Informationen