设置基于密钥的更新时Autorenew不工作- Cep/CES

Question

我正在尝试配置基于密钥的更新，使用WES来支持工作组计算机和不可信域中证书的自动更新。

我已经配置了CEP (证书认证，基于密钥的更新)和CES (证书认证，基于密钥的更新，只读模式)。

客户端是连接到不受信任域的服务器。我通过GPO成功地建立了CEP。我可以通过MMC来续签证书。

但是，证书不会自动更新。我确实得到了事件I 1003 --证书即将过期。自动注册是通过GPO启用的。如果我试图用人工更新

有什么想法吗？

Answer 1

根据你的评论，你所面对的行为是被期待的。客户端对国外林中的证书模板没有Autoenroll权限。

因为您可以手动注册和更新证书，所以您可以转到CA服务器(或者请PKI管理员这样做)并查找用于验证请求的身份(Requester Name列)。必须授予此用户帐户Autoenroll权限，或将其添加到对该模板具有适当权限的全局或通用组中。然后删除本地策略缓存并运行certutil -pulse以触发自动注册并尝试更新证书。

请注意，如果有更多基于同一模板的新证书，则直到80%的证书生存期通过或模板主要修订被更新后，自动注册才会更新它。