Sin rodeos, creé un servidor PKI (AD CS) que se encuentra dentro del dominio.
Mis controladores de dominio obtuvieron un certificado de controlador de dominio.
Después de eso, pensé que sería mejor crear una CA raíz que no esté en el dominio y una CA subordinada que se encuentre dentro del dominio.
Entonces necesitaba desinstalar mi primer servidor PKI, seguí lo siguienteguía de microsoft. (Básicamente eliminando el servidor PKI y todos los objetos AD que pertenecen a PKI)
Después de hacer eso, seguíeste videopara crear una estructura PKI de varios niveles. Esto funcionó bien, lo puse en funcionamiento y crea certificados para mis computadoras y mis usuarios. También se encuentra correctamente en mis Servicios de clave pública de Active Directory, AIA, CDP, etc.
El problema ahora es: Mis controladores de dominio no solicitan un certificado de mi nuevo servidor PKI. Si voy a ellos, Cert:\LocalMachine\Mytodavía tienen un certificado de controlador de dominio de mi antiguo servidor PKI.
Mis preguntas son:
- ¿Por qué no obtienen automáticamente un certificado de mi nuevo servidor PKI?
- ¿Cómo les obligo a obtener un certificado del nuevo servidor PKI?
- ¿Puedo eliminar el certificado antiguo en su almacén de certificados?
Los DC son Server Core 2019, PKI es Server 2022
Respuesta1
El siguiente comando le indica al servidor local que se comunique con su PKI para obtener un nuevo certificado. Primero puede eliminar el certificado anterior y luego ejecutar el comando.
certutil -pulse