自动更新证书:旧证书存档，但不颁发新证书。

Question

我们正在使用Active证书服务(AD )为内部web应用程序颁发证书。我们可以手动从CA请求证书，并且没有问题地颁发证书。自动注册组策略根据这里配置.

其中一个证书即将过期，因此我正在寻找一种自动更新过期证书的方法(无需任何手动步骤)。

在我在网上发现的中，需要启用选项“使用现有证书中的主题信息进行自动注册更新请求”，这是我们随后在此证书所基于的现有证书模板上所做的。

(我们还必须将兼容性设置更改为Certification Authority: Windows 2008 R2和Certificate收件人：Windows7/ Server 2008 R2，因为选项在此之前已变灰)

A在检查该选项后，将即将过期的证书存档，但没有颁发任何新证书。

在今天的第二次尝试中，我取消了证书存档，并将模板上的Autoenroll权限添加到相应的组中，但结果相同。

<#>更新： CA服务器本身也承载IIS网站，因为它安装了证书颁发机构web注册角色服务。我现在注意到，该服务器的证书必须在启用上述选项后立即自动更新。这也告诉我，模板不可能是问题，因为它在那里工作。

这正是我想要的，但不幸的是，我无法让它在另一台服务器上工作。

Update 2:我现在是向前迈进了一大步。因为很难用两年的有效期进行测试，所以我复制了现有的模板并将有效期更改为几个小时。你猜怎么着！使用测试模板颁发的证书将自动更新，不会出现问题。

我通常会想:嗯，这很可能只适用于变更后颁发的证书--但情况也不可能如此，因为它适用于网站注册网站。

我不能再用这个证书测试更久了，因为它明天就到期了。然而，我仍然想知道是什么阻止了它的工作。

如果有人能给出一个合理的答案，我仍然会奖励它的赏金。

Answer 1

微软这次讨论有一个可能的答案：

使用相同证书模板注册的多个证书的自动生效过程是什么？

相关引用：“自动注册从未设计为基于配置自动注册的同一模板处理多个证书。只有证书的第一个实例被自动更新。”

您是否看到一个附加到模板上的证书会被更新，但是后续的证书不会被更新？