對於實驗室/教學環境,我們需要設定一台 Windows 2012R2 電腦作為網域控制站,並在 636 上啟用 LDAPS。ADCS 在 LDAPS 服務上自動產生憑證。
但是,該證書將在一年後到期。是否有一種機制可以讓證書在一年結束時以某種方式自動續訂?
我似乎無法找到這個問題的答案。
或者我應該手動設定證書像這樣過期時間更遠?
答案1
在 Active Directory 憑證服務中,可以將憑證設定為在憑證過期之前自動續約。此功能(隨每個 Windows 機器提供)稱為憑證自動註冊。
以下連結說明如何啟用自動註冊功能(預設為停用):https://technet.microsoft.com/en-us/library/cc770546.aspx
在您的情況下,使用基於 Kerberos 驗證憑證範本(與 LDAPS 相容)的憑證並啟用自動註冊 GPO 就足夠了。憑證範本已包含企業網域控制器全域群組的自動註冊權限。如果 GPO 配置正確,網域控制站將在現有憑證的使用壽命達到 80% 後續訂其 LDAPS 憑證。
這是一個鏈接,詳細描述了什麼是自動註冊及其工作原理(僅供參考):https://technet.microsoft.com/en-us/library/cc778954(v=ws.10).aspx