经经理批准自动注册，但重新注册自动批准

Question

我有一个证书模板（自动注册），必须需要经理批准。

为了实现这一点，我在“颁发要求”选项卡中选中了CA 证书管理器批准复选框。

计算机会自动注册，并将证书放置在CA 的待处理队列中。

我的愿望是，一旦手动批准待处理的证书，就应该续订证书，或者在模板主要版本增加时更新证书，而无需经理批准。但我无法让它发挥作用。

当我增加证书的主要版本时，请求永远不会自动发出，而是再次放入待处理队列中以供手动发出。

我尝试将与注册相同的标准更改为有效的现有证书，但这没有改变任何内容。

为了加快故障排除速度，我过去常常certutil -pulse在请求计算机上启动自动注册过程。

编辑：

受影响服务器上的自动注册策略：

Answer 1

我已代表 OP (TrackingID#2201120040008993) 向 Microsoft 提出有关此问题的支持案例。正如我在评论中指出的，OP 的设置是正确的，我能够在我的环境中重现。支持票证是根据 [MS-WCCE] 协议、\xc2\xa73.2.1.4.2.1.4.2.2规范打开的。

\n

Microsoft 支持人员已确认该问题。进一步调查发现，Microsoft CA 实现了 [MS-WCCE] \xc2\xa73.2.2.6.2.1.4.5.7要求，以在正确时忽略CT_FLAG_PEND_ALL_REQUESTS标志CT_FLAG_PREVIOUS_APPROVAL_VALIDATE_REENROLLMENT。然而，进一步调查发现，内部请求处理例程之一中的 Microsoft CABad Renewal Name尝试将请求者 UPN 名称绑定到 Active Directory 中存储的名称失败。但是，由于它是计算机模板，因此 UPN 不可用（因此出现错误），并且续订过程将中止并执行初始请求过程：请求置于待处理请求中。并且此 UPN 绑定条件没有在任何地方记录。

\n

我已经为用户模板设置了相同的场景（在证书中记下 UPN）并且效果良好：初始请求被置于待处理请求中，续订自动续订并颁发证书。

\n

在当前状态下，“有效的现有证书”选项仅适用于用户模板，不适用于计算机模板。没有可用的解决方法。

\n

我正在继续与 Microsoft 支持人员对话，并将在有新信息时更新此回复。

\n

华泰

\n

更新 19.10.2022

\n

Microsoft 发布了更新的文档，其中包括请求必须满足的条件才能启用“有效的现有证书”强制执行：[MS-WCCE] \xc2\xa73.2.2.6.2.1.4.8 CT_FLAG_PREVIOUS_APPROVAL_VALIDATE_REENROLLMENT 强制条件

\n