Miguel
Miguel 20.12.2018 20:41 (GMT+2) Certificate Autoenrollment in Windows Server 2016 (part 3)

Hi Vadims, why is it recommended to turn autoenrollment for both the user and the computer configuration? What are the tradeoffs?

Роман
Роман 20.12.2018 16:55 (GMT+2) Certificate Autoenrollment in Windows Server 2016 (part 2)

Добрый день.

Спасибо за ответ на предыдущий вопрос. Разобрался.

Есть еще один насущный вопрос. 

Как настроить включение в сертификат дополнительных полей из учетной записи пользователя кроме E, CN, DC. Например, добавить включение в subject поля адрес(STREET), организацию (О) и других полей? Если настроить ввод вручную этих полей (не брать из AD) в шаблоне неудобен.

Заранее спасибо

Vadims Podāns
Vadims Podāns 19.12.2018 19:20 (GMT+2) Certificate Autoenrollment in Windows Server 2016 (part 2)

> https://server_slave.ad.local/certsrv/

конечно будет ругаться, это же веб-страницы, а не веб-сервис. Вам нужно установить веб-сервис и получить от него ссылку (через IIS, это в документе указано), которую уже вставляете в гпо.

Роман
Роман 19.12.2018 16:30 (GMT+2) Certificate Autoenrollment in Windows Server 2016 (part 2)

Добрый день

Извиняюсь, что не в ту ветку пишу, но к сожалению не нашел у Вас на сайте вот этот Ваш материал https://habr.com/company/microsoft/blog/349202/

Вопрос может и небольшой, но важный.

По окончании настройки по Вашей статье и разворачивании 3-х уровневой модели Корневой УЦ (offline), подчиненный УЦ (online in AD) , выпускающий УЦ (online in AD) при генерации сертификатов для пользователей обработкой запросов, поданных через mmc (certmgr.msc) и выпуском занимается подчиненный УЦ, а не выпускающий.

Подумал перенастроить на выпускающий сервер и нашел в Default domain policy параметр "Клиент служб сертификации: политика регистрации сертификатов" в которой указан URI сервера регистрации "LDAP:" и при попытке вручную добавить свой сервер регистрации (https://server_slave.ad.local/certsrv/) жутко ругается и не хочет пускать на шаг добавления.

Что я делаю не так?

Vadims Podāns
Vadims Podāns 19.12.2018 10:28 (GMT+2) Export and import certificate templates with PowerShell

> Importing works fine, but my problem is that native ADCS cmdlet Add-CATemplate does not see imported template immediatelly.

This might be associated with internal cache of built-in Add-CATemplate.