Сертификаты ADCS CAExchange отправляются без загруженных шаблонов по умолчанию
Несмотря на то, что я использовал "LoadDefaultTemplates = 0" в моем CAPolicy.inf при установке моего подчиненного, я заметил, что он все еще выдал 1 сертификат после установки. Это сертификат CAExhange, который он выдал сам себе. Теперь мне интересно, является ли это поведением по умолчанию или нет?
Я проверил шаблон CA Exchange и не вижу в нем учетных записей компьютеров (соответствующий сертификат выдается учетной записи компьютера). Еще я еще не включил автоматическую регистрацию через GPO.
Я использую довольно простую установку: CA1 = автономный корневой центр сертификации S1 = Подчиненный выдающий ЦС
Шаблоны по умолчанию не загружаются, если я перейду в Центр сертификации -> Шаблоны сертификатов, я вижу, что он пуст.
Теперь мне интересно, как был выдан сертификат CAExchange?
По умолчанию ADCS не использует шаблон сертификата CA Exchange для создания сертификата CA Exchange . Вместо этого ADCS использует встроенную конфигурацию для этих сертификатов, срок действия которых составляет 1 месяц. Это нормальное и ожидаемое поведение, и вам не стоит об этом беспокоиться. Фактически, сертификат CA Exchange - единственный сертификат, который может быть сгенерирован сервером ADCS без необходимости установки одноименного шаблона.
Почему это делается? Консоль PKI Health ( pkiview.msc ) полагается на сертификат CA Exchange для построения карты CA предприятия и выйдет из строя, если не установлены шаблоны. Чтобы решить эту проблему, Microsoft позволяет ADCS автоматически создавать сертификат CA Exchange без установки шаблона сертификата.