Я просто создал PKI-сервер (AD CS), который находится внутри домена.
Мои контроллеры домена получили от него сертификат DomainController.
После этого я подумал, что было бы лучше создать корневой центр сертификации, который не находится в домене, и подчиненный центр сертификации, который находится внутри домена.
Итак, мне нужно было удалить мой первый PKI-сервер, я выполнил следующие действия:руководство от Microsoft. (По сути, удаление PKI-сервера и всех объектов AD, принадлежащих PKI)
Сделав это, я последовалэто видеодля создания многоуровневой структуры PKI. Это сработало хорошо, я запустил его, и он создает сертификаты для моих компьютеров и пользователей. Он также правильно размещается в моих службах открытых ключей Active Directory, AIA, CDP и т. д.
Проблема теперь в следующем: Мои контроллеры домена не запрашивают сертификат с моего нового сервера PKI. Если я захожу на их сервер, Cert:\LocalMachine\Myу них все еще есть сертификат контроллера домена с моего старого сервера PKI.
У меня есть вопросы:
- Почему они автоматически не получают сертификат с моего нового сервера PKI?
- Как заставить их получить сертификат с нового сервера PKI?
- Могу ли я удалить старый сертификат в их хранилище сертификатов?
DC — Server Core 2019, PKI — Server 2022
решение1
Следующая команда сообщает локальному серверу, что нужно связаться с его PKI, чтобы получить новый сертификат. Сначала можно удалить старый сертификат, а затем выполнить команду.
certutil -pulse