Servidor Windows

Puedes usar el módulo PowerShell SCEPmanClient para solicitar certificados para tu servidor Windows. Consulta el artículo principal del módulo para los prerrequisitos:

Descripción del caso de uso

Aunque el módulo es capaz de solicitar certificados inicialmente, puede no ser conveniente almacenar las credenciales del principal de servicio en una máquina que podría usarse para solicitar certificados arbitrarios.

Así que si tu escenario incluye la implementación de un certificado usando Certificate Master, puedes renovarlo automáticamente usando SCEPmanClient proporcionando un certificado ya existente para la autenticación:

$Subject = $env:COMPUTERNAME
$ValidityThreshold = 30

$CertificateToRenew = Get-ChildItem Cert:\LocalMachine\My `
                        | Where-Object NotAfter -lt (Get-Date).AddDays($ValidityThreshold) `
                        | Where-Object Subject -match $Subject

New-SCEPmanCertificate -Certificate $CertificateToRenew -SaveToStore 'LocalMachine'

# Con el nuevo certificado en su lugar podemos eliminar el antiguo
# Remove-Item $CertificateToRenew.PSPath

Este ejemplo encontrará certificados que expiran en el próximo mes y los usará para autenticar la solicitud de renovación.

Solicitud inicial

Si deseas solicitar certificados en tu servidor inicialmente, puedes hacerlo proporcionando un principal de servicio para la autenticación que tenga el rol CSR DB Requesters asignado. Consulta la siguiente guía sobre cómo implementar dicho principal de servicio:

Si ahora queremos renovar un certificado, podemos prescindir del principal de servicio y usar un certificado ya emitido para la autenticación. Esto usará los detalles del certificado existente para construir una nueva CSR y emitirla a SCEPman para un nuevo certificado.