Добрый день! Сразу прошу прощения за копию темы, но в созданной теме в категории "Безопасность" за весь день 13 просмотров(((( Печально как-то.
В домене в роли Issuing CA выступает MS server 2012R2.
При использовании Autoenrollment, как механизм автоматической выдачи сертификатов возникли вопросы.
Итак,
Automatic Certificate Request (ACR) — поддерживает автоматическое распространение сертификатов для компьютеров на основе шаблонов версии 1.
Autoenrollment — поддерживает автоматическое распространение сертификатов для компьютеров и пользователей на основе шаблонов версии 2 и 3.
1. Как я понимаю, при ACR используются только сертификаты версии 1. Для моей среды достаточно сертификатов для компьютера, т.е сертификатов версии 1. Включаю в GPO Autoenrollment:
---- Computer Configuration –> Windows Settings –> Security Settings –> Public Key Policies –> Certificate Services Client — Autoenrollment
включил сам Autoenrollment engine
-----Computer Configuration –> Windows Settings –> Security Settings –> Public Key Policies –> Automatic Certificate Request Settings
создал необходимые запросы сертификатов -- шаблон "Компьютер"
2. После обновления групповой политики выдались сертификаты версии 1 на компьютеры. Но на контроллер домена выдались сертификаты версии 2, при том что в шаблонах центра сертификации их нет.


В шаблонах сертификатов версии 2 выданные контроллеру домена написано, что они заменяют шаблоны сертификатов версии 1 (Контроллер домена). Но в шаблоне сертификатов "Проверка подлинности Kerberos" - нет списка устаревших сертификатов

возник вопрос,
1.правильно ли это, что в выданных сертификатах есть новые и устаревшие сертификаты?????
2. Какой механизм приводит в действие данную замену сертификатов?