Après de multiples reports, Microsoft a finalement décidé que la Modifications apportées à l'émission de certificats et à l'ouverture de session basée sur des certificats dans Active Directory par le correctif pour Windows Server du 10 mai 2022 (KB5014754) devraient maintenant entrer définitivement en vigueur.
Les contrôleurs de domaine passeront donc automatiquement en mode "full enforcement" le 25 février 2025 si rien d'autre n'est configuré. En septembre 2025, il est annoncé que les paramètres divergents seront supprimés et qu'il n'y aura donc plus d'alternative au full enforcement.
Cela a pour conséquence que les inscriptions via PKInit ne peuvent être utilisées pour une inscription que si elles disposent de l'extension de certificat Security Identifier (SID) nouvellement introduite avec le patch.
Ce qui semble à première vue ne pas être un problème majeur peut en fait en devenir un si l'on considère que de moins en moins de cas d'application basés sur des certificats utilisent aujourd'hui l'auto-enrollment classique.
Comme le Module de politique TameMyCerts pour les services de certificats Active Directory peut aider à résoudre ce problème est expliqué plus en détail dans l'article suivant.
Continuer la lecture de « Die Security Identifier (SID) Zertifikaterweiterung in per Mobile Device Management (MDM) beantragte Zertifikate automatisch eintragen – mit dem TameMyCerts Policy Modul für die Microsoft Active Directory Certificate Services (ADCS) »
Français 
Deutsch 
English