Criei sem rodeios um servidor PKI (AD CS) que fica dentro do domínio.
Meus controladores de domínio obtiveram um certificado DomainController dele.
Depois disso, pensei que seria melhor criar uma CA raiz que não estivesse no domínio e uma CA subordinada que ficasse dentro do domínio.
Então precisei desinstalar meu primeiro servidor PKI, segui o seguinteguia da Microsoft. (Basicamente removendo o servidor PKI e todos os objetos AD que pertencem ao PKI)
Depois de fazer isso, seguiesse vídeopara criar uma estrutura PKI multicamadas. Funcionou bem, coloquei-o em funcionamento e ele cria certificados para meus computadores e usuários. Ele também fica corretamente em meus serviços de chave pública do Active Directory, AIA, CDP etc.
O problema agora é: Meus controladores de domínio não solicitam um certificado do meu novo servidor PKI. Se eu for até eles, Cert:\LocalMachine\My
eles ainda têm um certificado DomainController do meu antigo servidor PKI.
Minhas perguntas são:
- Por que eles não obtêm automaticamente um certificado do meu novo servidor PKI?
- Como faço para forçá-los a obter um certificado do novo servidor PKI?
- Posso excluir o certificado antigo em seu armazenamento de certificados?
DCs são Server Core 2019, PKI é Server 2022
Responder1
O comando a seguir informa ao servidor local para entrar em contato com sua PKI para obter um novo certificado. Você pode excluir o certificado antigo primeiro e depois executar o comando.
certutil -pulse