多年来,我一直不情愿地手动更新我们购买的通配符证书,现在我已经拥有 100 多个 Web 和客户端服务器,我已经受够了。服务器大多是独立的,分布在几个不同的域中,但有几个服务器场在运行,这可能至少对少数几个服务器场来说更容易。
所有操作系统都是 Windows Server 2016 和 2019。
我目前在每个证书有效期结束时的流程是购买一个新的(续订)证书并从我的内部管理箱中完成 CSR,然后以 .pfx 格式导出证书,并在每个服务器上手动安装它个人商店。在 Web 服务器 ( IIS ) 上,我也手动修改绑定。
我知道如果我使用域中生成的证书,我可以简单地在每个域中使用 AD CA 将它们推出,但根据我的研究,我找不到一种方法来推出我们从供应商处购买的证书。
我还看到 GPO 可能至少是在服务器上获取证书的答案 - 设置项目级目标对我来说并不难,或者将所有网络服务器放在一个组或 OU 中每个领域。我遇到的唯一问题是我找不到使用此方法将证书放入Personal store 的方法,这是必需的。
这里可能有不止 1 个“正确”的答案,但我想知道你们每年是如何处理这个过程的,所以请随时加入。如果这个社区之前已经回答过这个问题,我深表歉意,但我的搜索没有结果。
automation iis deployment ssl-certificate windows-server-2016