我直接建立了一個位於網域內的 PKI 伺服器(AD CS)。
我的網域控制器從中獲得了網域控制器憑證。
之後,我認為最好建立一個不在網域中的根 CA,以及位於網域內的從屬 CA。
所以我需要卸載我的第一個 PKI 伺服器,我按照以下步驟操作來自微軟的指南。 (基本上刪除 PKI 伺服器和屬於 PKI 的所有 AD 物件)
這樣做之後,我遵循這個視頻建立多層PKI結構。這很有效,我啟動並運行了它,它為我的電腦和用戶創建了證書。它也正確地位於我的 Active Directory 公鑰服務、AIA、CDP 等。
現在的問題是:我的網域控制站不會向我的新 PKI 伺服器要求憑證。如果我去他們那裡,Cert:\LocalMachine\My他們仍然有來自我的舊 PKI 伺服器的網域控制器憑證。
我的問題是:
- 為什麼他們不自動從我的新 PKI 伺服器取得憑證?
- 如何強制他們從新的 PKI 伺服器取得憑證?
- 我可以刪除憑證儲存中的舊憑證嗎?
DC 是 Server Core 2019,PKI 是 Server 2022
答案1
以下命令告訴本機伺服器聯絡其 PKI 以取得新憑證。您可以先刪除舊證書,然後再執行該指令。
certutil -pulse