none
企业更换根证书后,通过组策略自动颁发新证书 RRS feed

  • 问题

  • 由于公司更名,之前使用A-ca颁发证书,后来使用B-ca颁发,现在A-ca马上到期,但是还有部分用户在使用A-ca颁发的旧证书进行加密、登录认证,公司一直使用组策略自动颁发,现在如何给旧证书用户颁发新证书,而不影响新证书用户,谢谢!
    2019年6月12日 2:58

答案

  • 您好!

     

    从您的描述来看,您目前环境中有两个CA, 一个是老的CAA-CA,一个是新的CAB-CA. 您公司颁发证书是配置了AutoEnroll ,自动颁发。您想要让给旧证书用户颁发新证书,如果我的理解有误,请告知。

     

    关于给拥有旧证书的用户颁发新证书, 如果您已经在组策略里面配置了自动颁发Auto-Enroll的话,您只要确保以下两点就可以:

    • 自动注册颁发这条组策略也有应用给这些老用户。
    • 新的证书模板上这些老用户以及他们的计算机拥有Read, Enroll, Auto-Enroll的权限。

     

    您可以按照以上建议操作,如果有什么不清楚的地方,欢迎一起讨论。

     

    此致!

                敬礼!

    Crystal Shen


    如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。

    如果您对 TechNet 订户支持有反馈,您可以联系tnmff@microsoft.com.


    2019年6月13日 5:41
  • 您好!

    感谢您把我的回复标记为答案,很高兴我们的回复对您有帮助,

    关于您提到的反复生成证书,我怀疑和证书模板上的设置有关,您可以在证书模板上勾选以下选项看问题是否解决:

    如果后期有什么需要我们协助的地方,您可以联系我们,我们可以一起讨论。

    祝您工作愉快

    此致!

                敬礼!

    Crystal


    如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。

    如果您对 TechNet 订户支持有反馈,您可以联系tnmff@microsoft.com.



    2019年6月13日 7:34
  • 您好!

    感谢您把您的方法分享到此论坛,这是一个可以禁止用户自动注册的一个快捷方法,关于自动注册方面的问题,如果您后期想要排错,您可以通过设置注册表AEEventLogLevel ,值为5,看详细的事件日志看是否有所发现,具体信息,您可以参考以下英文文章:

    https://social.technet.microsoft.com/wiki/contents/articles/3048.active-directory-certificate-services-ad-cs-troubleshooting-certificate-autoenrollment.aspx

    希望以上信息对您有帮助。

    此致!

                敬礼!

    Crystal


    如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。

    如果您对 TechNet 订户支持有反馈,您可以联系tnmff@microsoft.com.



    2019年6月17日 3:03

全部回复

  • 您好!

     

    从您的描述来看,您目前环境中有两个CA, 一个是老的CAA-CA,一个是新的CAB-CA. 您公司颁发证书是配置了AutoEnroll ,自动颁发。您想要让给旧证书用户颁发新证书,如果我的理解有误,请告知。

     

    关于给拥有旧证书的用户颁发新证书, 如果您已经在组策略里面配置了自动颁发Auto-Enroll的话,您只要确保以下两点就可以:

    • 自动注册颁发这条组策略也有应用给这些老用户。
    • 新的证书模板上这些老用户以及他们的计算机拥有Read, Enroll, Auto-Enroll的权限。

     

    您可以按照以上建议操作,如果有什么不清楚的地方,欢迎一起讨论。

     

    此致!

                敬礼!

    Crystal Shen


    如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。

    如果您对 TechNet 订户支持有反馈,您可以联系tnmff@microsoft.com.


    2019年6月13日 5:41
  • 您的方法是对的。我们使用的方式是:在新的证书服务器上的证书模板控制台中,自动颁发证书模板的属性,安全项里面添加了一个群组,该群组有读取、注册、自动注册三个权限,再将只有老正式而无新证书的用户添加到该组里,应该能实现老用户的新证书自动注册,从而保证不给新证书用户重新颁发证书(之前遇到过一个用户颁发了多个证书的情况)。具体还未实施,有后续结果我再给您答复。
    2019年6月13日 7:23
  • 您好!

    感谢您把我的回复标记为答案,很高兴我们的回复对您有帮助,

    关于您提到的反复生成证书,我怀疑和证书模板上的设置有关,您可以在证书模板上勾选以下选项看问题是否解决:

    如果后期有什么需要我们协助的地方,您可以联系我们,我们可以一起讨论。

    祝您工作愉快

    此致!

                敬礼!

    Crystal


    如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。

    如果您对 TechNet 订户支持有反馈,您可以联系tnmff@microsoft.com.



    2019年6月13日 7:34
  • 禁止重复注册是勾选上的,为了解决这个问题,我们建了一个新的禁止自动注册组,组的权限是拒绝注册、自动注册。将重复注册过的用户添加到该组里,虽然方法有点low,但是也没找到更好的办法了。
    2019年6月17日 2:52
  • 您好!

    感谢您把您的方法分享到此论坛,这是一个可以禁止用户自动注册的一个快捷方法,关于自动注册方面的问题,如果您后期想要排错,您可以通过设置注册表AEEventLogLevel ,值为5,看详细的事件日志看是否有所发现,具体信息,您可以参考以下英文文章:

    https://social.technet.microsoft.com/wiki/contents/articles/3048.active-directory-certificate-services-ad-cs-troubleshooting-certificate-autoenrollment.aspx

    希望以上信息对您有帮助。

    此致!

                敬礼!

    Crystal


    如果您的问题得到解答,请在登录后将此回复标记为“答案”,非常感谢您的支持。

    如果您对 TechNet 订户支持有反馈,您可以联系tnmff@microsoft.com.



    2019年6月17日 3:03