Windows Server 2003根CA -什么会导致根CA证书更新？

Question

我特别指的是域控制器(Windows 2003 SP2)上自创建的根CA，所有域客户端都信任内部使用，而不是GoDaddy、Verisign等Root。也许他们之间有某种联系。

在过去的一年里，我目睹了它的两次更新。我想知道是什么情况导致它更新，除了过期.我已经检查过了，在这两种情况下都没有过期，这还需要一年的时间。

我是怎么观察到的？此CA还用于LDAPS客户端--当证书更改时，它们停止工作--更具体地说，当发生这种情况时，Apache2 mod_ldap ldaps:// auth中断，直到域控制器(也是根CA)被重新启动。一旦重新启动服务器，Java ://客户端就停止工作，重新获取根CA证书解决了问题--但是在重新启动之前，Java客户端非常高兴，只有Apache停止工作。

我只是想了解什么东西可以导致windows服务器2003根CA证书更新。这台服务器已经很老了(部署了将近7年)，并且在我们说话的时候就被淘汰了(重新启动太费劲了！)几个服务(RADIUS，打印假脱机等)在运行2-3个月后停止正常工作，所以我几乎想把它写下来.

• Windows更新会导致这种情况吗？
• 更新受信任CA的Windows列表会导致此证书更新吗？(有亲戚吗？)
• 其他原因？

UPDATE: Java失败LDAPS的实际症状一直持续到证书更新(根CA或LDAP证书-仍然决定.)：

PKIX路径生成失败: sun.security.provider.certpath.SunCertPathBuilderException:无法找到被请求目标的有效证书路径

更多的说明: Java客户端位于一个Linux服务器上，它不是域的成员，而是通过隧道进入我们的专用网络。Apache位于作为域成员的Windows服务器上。

Answer 1

证书真的..。最新消息？它是否使用新的哈希、新的过期日期等构建了一个全新的根证书？或者只是观察到的“直到重新启动”的问题？

我在这个问题上的预感是，LDAP/S客户端所指向的域控制器不会自动注册。请记住，LDAP/S使用的证书要么是Domain Controller证书，要么是Kerberos Authentication证书--这些证书将由每个域控制器自动注册，并将在默认的更新日程上进行更新。签入域控制器上的证书卡以查看它何时过期，并相应地进行计划。

这种注册失败的原因可能有很多，包括证书模板或CA本身的配置错误(不允许自动注册)、CRL发布问题，或者仅仅是RADIUS和假脱机服务之类的服务失败。

首先要检查的是企业PKI MMC插件，pkiview.msc。它会告诉你是否有一个失败的服务，或者一个CRL没有更新，或者任何其他导致信任链问题的东西。

Answer 2

我唯一能想到的是已经为CA服务器分配了自动注册(和自动重新注册)的权限，并且GP已经启用了自动注册。不过，我必须看一看服务器才能确定。