其实这个问题我之前帮朋友排查过，当时他也纳闷：离线根CA都顺利搭好了，怎么中间CA非得要Remote Registry服务跑起来才能发证书？

说穿了，ADCS这套体系的很多核心配置和状态信息，都是存在系统注册表里面的，而Remote Registry服务就是负责让ADCS的核心服务（也就是Certificate Authority服务）能顺畅读取这些关键内容：

• 证书模板的有效性校验：如果你搭的是企业级中间CA，它得依赖Active Directory里的证书模板来发证书。这些模板的配置会同步到CA服务器的注册表中，Remote Registry服务能让CA服务顺利读取这些注册表项，确认模板是不是符合颁发要求。
• CA自身的配置加载：中间CA的核心规则，比如证书有效期、CRL发布策略这些，全存在注册表的特定路径里。要是Remote Registry没开，Certificate Authority服务就没法正常读取这些配置，自然没法启动或者颁发证书。
• 从属CA的初始化验证：当你把中间CA设为根CA的从属CA时，就算根CA是离线的，中间CA自身也得通过注册表确认根CA证书的导入状态、自身的身份配置是否正确，这个过程也需要Remote Registry服务的支持。
• 跨组件交互的基础：ADCS还有一些辅助组件（比如证书注册服务），它们和CA核心服务交互的时候，也得通过Remote Registry来传递配置信息，尤其是在多服务器的部署场景下。

简单说就是，Remote Registry服务相当于ADCS读取核心配置的“通道”，没它的话，中间CA根本不知道该怎么干活~

备注：内容来源于stack exchange，提问作者threehundredvolts