Mit der Einführung der Zertifikatvorlagen der Version 2 zusammen mit Windows XP und Windows Server 2003 wurde die Option eingeführt, dass eine Zertifikatvorlage eine oder mehrere andere ersetzen kann.
Hiermit ist es möglich, ausgestellte Zertifikate durch solche einer anderen Zertifikatvorlage zu ersetzen, oder mehrere Zertifikatvorlagen zu einer einzigen hin zu konsolidieren.
Dieser Mechanismus funktioniert nur für Zertifikate, die entweder manuell oder automatisch über Autoenrollment beantragt werden.
Die Konfiguration, welche Zertifikatvorlagen ersetzt werden, wird in der Registerkarte "Superseded Templates" der neuen Zertifikatvorlage konfiguriert.
In dem Moment, wenn der Autoenrollment Prozess ein Zertifikat der neuen Zertifikatvorlage erhält, werden Zertifikate ersetzter Zertifikatvorlagen archiviert, d.h. sie sind noch auf dem Client vorhanden, werden aber nicht mehr zur Auswahl angeboten.
Auf dem Client wird das Ereignis mit ID 10 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll protokolliert.
Es ist auch möglich, einzustellen dass ersetzte Zertifikate aus dem lokalen Zertifikatspeicher gelöscht werden. Diese Einstellung wird in der Registerkarte "Request Handling" der ersetzen Zertifikatvorlage vorgenommen, ist allerdings nur möglich, wenn der Zweck (Purpose) auf "Signature" eingestellt ist.
Ist eine Löschung konfiguriert, wird nicht der private Schlüssel des Zertifikats gelöscht.
Fragen und Antworten zu Superseding
Erfolgt die Beantragung eines Zertifikats umgehend oder erst, wenn 80% der Gültigkeit der Zertifikats von der ersetzten Zertifikatvorlage abgelaufen sind?
Im Gegensatz zur Erneuerung eines Zertifikats von der gleichen Zertifikatvorlage erfolgt die Beantragung eines Zertifikats von der neuen Zertifikatvorlage nicht erst nach Ablauf von 80% der Zertifikatgültigkeit der ersetzten Zertifikatvorlage, sondern sofort (d.h. sobald sich ein Client erfolgreich am Active Directory anmeldet und der Autoenrollment Prozess ausgelöst wurde).
Muss die ersetzte Zertifikatvorlage noch veröffentlicht sein?
Nein. Sie muss nicht weiter veröffentlicht werden. Sofern alle Benutzer für die Zertifikatbeantragung auf die neue Zertifikatvorlage berechtigt sind, wird aber auch keine Zertifikatbeantragung gegenüber der ersetzten Zertifikatvorlage erfolgen, auch wenn diese weiterhin auf einer Zertifizierungsstelle veröffentlicht ist.
Wenn ich auf die neue Zertifikatvorlage nicht berechtigt bin, bekomme ich dann noch einmal ein Zertifikat von der ersetzten Zertifikatvorlage?
Ja. Voraussetzung ist, dass die ersetzte Zertifikatvorlage noch auf einer Zertifizierungsstelle veröffentlicht wurde.
Werden Zertifikate einer ersetzten Zertifikatvorlage auch aus dem Benutzerkonto (UserCertificate) Attribut gelöscht?
Nein, eine solche Löschung muss abseits der PKI-Mechanismen implementiert werden.
Weiterführende Links:
Externe Quellen
- Administering Certificate Templates (Microsoft Corporation),
- Superseded Certificate Templates and impact on user’s AD store (Microsoft Corporation)
Deutsch 
English