Servidor Windows

Pode usar o módulo SCEPmanClient do PowerShell para solicitar certificados para o seu servidor Windows. Consulte o artigo principal do módulo para conhecer os pré-requisitos:

Descrição do caso de uso

Embora o módulo seja capaz de solicitar certificados inicialmente, pode não ser desejável armazenar as credenciais da entidade de serviço numa máquina que poderia ser usada para solicitar certificados arbitrários.

Portanto, se o seu cenário inclui a implementação de um certificado usando o Certificate Master, pode renová-lo automaticamente usando SCEPmanClient fornecendo um certificado já existente para autenticação:

$Subject = $env:COMPUTERNAME
$ValidityThreshold = 30

$CertificateToRenew = Get-ChildItem Cert:\LocalMachine\My `
                        | Where-Object NotAfter -lt (Get-Date).AddDays($ValidityThreshold) `
                        | Where-Object Subject -match $Subject

New-SCEPmanCertificate -Certificate $CertificateToRenew -SaveToStore 'LocalMachine'

# Com o novo certificado em vigor, podemos remover o antigo
# Remove-Item $CertificateToRenew.PSPath

Este exemplo irá encontrar certificados a expirar no próximo mês e usá-los para autenticar o pedido de renovação.

Pedido inicial

Se quiser solicitar certificados inicialmente no seu servidor, pode fazê-lo fornecendo uma entidade de serviço para autenticação que tenha a função CSR DB Requesters atribuída. Consulte o seguinte guia sobre como implementar essa entidade de serviço:

Se agora quisermos renovar um certificado, podemos desconsiderar a entidade de serviço e usar um certificado já emitido para autenticação. Isto utilizará os detalhes do certificado existente para construir um novo CSR e emiti-lo para o SCEPman para um novo certificado.