저는 도메인 내부에 있는 PKI 서버(AD CS)를 직접 만들었습니다.
내 도메인 컨트롤러가 DomainController 인증서를 받았습니다.
그 이후에는 도메인에 없는 루트 CA와 도메인 내부에 하위 CA를 만드는 것이 더 낫다고 생각했습니다.
그래서 첫 번째 PKI 서버를 제거해야 했고 다음을 따랐습니다.Microsoft의 가이드. (기본적으로 PKI Server 및 PKI에 속한 모든 AD 개체 제거)
그 일을 하고 난 뒤 따라갔다.이 비디오다중 계층 PKI 구조를 생성합니다. 이것은 잘 작동했고, 실행하여 내 컴퓨터와 사용자를 위한 인증서를 생성했습니다. 또한 내 Active Directory 공개 키 서비스, AIA, CDP 등에 올바르게 위치합니다.
이제 문제는 내 도메인 컨트롤러가 새 PKI 서버로부터 인증서를 요청하지 않는다는 것입니다. 내가 그 곳으로 가면 Cert:\LocalMachine\My이전 PKI 서버의 DomainController 인증서가 여전히 있습니다.
내 질문은 다음과 같습니다
- 새 PKI 서버에서 자동으로 인증서를 받지 못하는 이유는 무엇입니까?
- 새 PKI 서버에서 인증서를 받도록 하려면 어떻게 해야 합니까?
- 인증서 저장소에서 이전 인증서를 삭제할 수 있나요?
DC는 Server Core 2019이고 PKI는 Server 2022입니다.
답변1
다음 명령은 로컬 서버에 해당 PKI에 연결하여 새 인증서를 가져오도록 지시합니다. 먼저 기존 인증서를 삭제한 후 명령을 실행할 수 있습니다.
certutil -pulse