Windows-Server

Sie können das PowerShell-Modul SCEPmanClient verwenden, um Zertifikate für Ihren Windows-Server anzufordern. Bitte beachten Sie den Hauptartikel des Moduls für die Voraussetzungen:

Anwendungsfallbeschreibung

Während das Modul in der Lage ist, anfänglich Zertifikate anzufordern, ist es möglicherweise nicht wünschenswert, die Dienstprinzipal-Anmeldeinformationen auf einem Rechner zu speichern, mit dem beliebige Zertifikate angefordert werden könnten.

Wenn Ihr Szenario die Bereitstellung eines Zertifikats mit Certificate Master beinhaltet, können Sie es daher automatisch mit SCEPmanClient erneuern, indem Sie ein bereits vorhandenes Zertifikat zur Authentifizierung bereitstellen:

$Subject = $env:COMPUTERNAME
$ValidityThreshold = 30

$CertificateToRenew = Get-ChildItem Cert:\LocalMachine\My `
                        | Where-Object NotAfter -lt (Get-Date).AddDays($ValidityThreshold) `
                        | Where-Object Subject -match $Subject

New-SCEPmanCertificate -Certificate $CertificateToRenew -SaveToStore 'LocalMachine'

# Mit dem neuen Zertifikat an Ort und Stelle können wir das alte entfernen
# Remove-Item $CertificateToRenew.PSPath

Dies findet Zertifikate, die im nächsten Monat ablaufen, und verwendet es für

Anfängliche Anforderung

Wenn Sie Zertifikate auf Ihrem Server anfänglich anfordern möchten, können Sie dies tun, indem Sie einen Dienstprinzipal zur Authentifizierung bereitstellen, dem die Rolle CSR DB Requesters zugewiesen ist. Bitte beachten Sie die folgende Anleitung, wie ein solcher Dienstprinzipal implementiert wird:

Wenn wir nun ein Zertifikat erneuern möchten, können wir den Dienstprinzipal außer Acht lassen und ein bereits ausgestelltes Zertifikat zur Authentifizierung verwenden. Dieses verwendet die Details des bestehenden Zertifikats, um eine neue CSR zu erstellen und an SCEPman zur Ausstellung eines neuen Zertifikats zu senden.