Servidor Windows

Puede usar el módulo de PowerShell SCEPmanClient para solicitar certificados para su servidor Windows. Consulte el artículo principal del módulo para conocer los requisitos previos:

Descripción del caso de uso

Aunque el módulo es capaz de solicitar certificados inicialmente, podría no ser deseable almacenar las credenciales del principal de servicio en una máquina que podría usarse para solicitar certificados arbitrarios.

Por lo tanto, si su escenario incluye la implementación de un certificado mediante Certificate Master, puede renovarlo automáticamente usando SCEPmanClient proporcionando un certificado ya existente para autenticación:

$Subject = $env:COMPUTERNAME
$ValidityThreshold = 30

$CertificateToRenew = Get-ChildItem Cert:\LocalMachine\My `
                        | Where-Object NotAfter -lt (Get-Date).AddDays($ValidityThreshold) `
                        | Where-Object Subject -match $Subject

New-SCEPmanCertificate -Certificate $CertificateToRenew -SaveToStore 'LocalMachine'

# Con el nuevo certificado en su lugar, podemos eliminar el antiguo
# Remove-Item $CertificateToRenew.PSPath

Este ejemplo buscará certificados que caduquen en el próximo mes y lo usará para autenticar la solicitud de renovación.

Solicitud inicial

Si desea solicitar certificados en su servidor inicialmente, puede hacerlo proporcionando un principal de servicio para autenticación que tenga asignado el rol CSR DB Requesters . Consulte la siguiente guía sobre cómo implementar dicho principal de servicio:

Si ahora queremos renovar un certificado, podemos prescindir del principal de servicio y usar un certificado ya emitido para la autenticación. Esto utilizará los detalles del certificado existente para construir una nueva CSR y enviarla a SCEPman para obtener un nuevo certificado.