ActiveDirectory証明書サービスの自動更新
LDAPS(LDAP over SSL)を介してActiveDirectoryと通信する必要があるLDAPアプリケーションがあります。テストドメインコントローラーにActiveDirectory証明書サービスをインストールしました(これがベストプラクティスではないことはわかっていますが、顧客にはスタンドアロンCAサーバー用の予備のWindows Serverライセンスがありません)。
From here 私はこれらの指示を読み、それに従いました:
AD CSロールをインストールし、セットアップタイプをエンタープライズとしてドメインコントローラーに指定すると、フォレスト内のすべてのドメインコントローラーは、LDAP overSSLを受け入れるように自動的に構成されます。
発行された証明書は実際にDC証明書ストアにロードされ、LDAPS対応アプリケーションが機能しています。
私の質問は:証明書は自動的に更新/再登録されますか、それとも手動で処理する必要がありますか?自動更新が正しく機能することを確認するために何を確認する必要がありますか?
ADCS Enterprise CAを使用すると、ユーザーとコンピューターの証明書を自動的に要求および更新できる証明書の自動登録を利用できます。詳細については、新しいホワイトペーパーを作成しました: Windows Server 2016での証明書の自動登録 。ドキュメントのダウンロード可能なコピーがあります。
要するに、それは次のように行われます:
- GPO自動登録ポリシーの構成セクションで指定されているように自動登録ポリシーを構成します。
- GPOを適切なコンテナ(OU、ドメイン、サイト)に適用します。
- 展開する適切な証明書テンプレートを見つけます。 [セキュリティ]タブに移動し、適切なグループ(ユーザー、コンピューター、またはDC)に次のアクセス許可を付与します:読み取り、登録、および自動登録。
- テンプレートをCAに公開して発行します。
- ????
- 利益
最後の2つの項目は、GPOがクライアントに適用されるまで待つ必要があることを意味します。
注:自動登録を成功させるには、証明書のサブジェクト名をActiveDirectoryから作成する必要があります。
更新
特定の質問では、自動登録GPOを構成し、Kerberos Authenticationテンプレートがまだ追加されていない場合はCAに公開するだけです。このteamplteには、必要なすべての権限が既にあります。