对于实验室/教学环境,我们需要将Windows 2012R2机器设置为域控制器,并在636上启用LDAPS。由于我们还需要安装ADCS,我们只让ADCS自动生成LDAPS服务的证书 。
但是,证书在一年内到期。 有一种机制,证书自动更新一年之后呢?
我似乎无法find答案。
或者我应该手动设置这样一个更远距离到期时间的证书?
在Active Directory证书服务中,可以将证书configuration为在证书过期之前自动更新。 这个function(与每个Windows盒子一起提供)被称为证书自动注册。
以下链接介绍了如何启用自动注册function(默认情况下禁用): https : //technet.microsoft.com/en-us/library/cc770546.aspx
在您的情况下,使用基于Kerberos身份validation证书模板(与LDAPS兼容)的证书并启用自动注册GPO就足够了。 证书模板已经包含企业域控制器全局组的自动注册权限。 如果GPOconfiguration正确,则域控制器将在现有证书使用寿命的80%之后更新其LDAPS证书。
这里是一个链接,介绍什么是自动注册,以及它是如何工作的细节(供参考): https : //technet.microsoft.com/en-us/library/cc778954 ( v=ws.10 ) .aspx