Supposons le scénario suivant :
- Es ist eine Zertifikatvorlage für die automatische Beantragung und Ausstellung (AutoEnrollment) konfiguriert.
- Benutzer oder Computer beantragen in regelmäßigen Abständen und lange vor dem definierten Erneuerungszeitraum neue Zertifikate.
Im Zertifikatspeicher des betreffenden Benutzers bzw. Computers fällt auf, dass keine Information zu Zertifikatvorlagen der betreffenden Zertifikate angezeigt wird.
Cause
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Die Auslöser für eine automatische Zertifikatbeantragung durch den Autoenrollment Prozess sind:
- à l'ouverture de session de l'utilisateur (sur les ordinateurs, lorsque le compte de l'ordinateur se connecte, c'est-à-dire au démarrage du système)
- Par minuterie toutes les 8 heures.
- Lors d'une mise à jour de la stratégie de groupe, à condition qu'il y ait eu un changement.
Die Zertifikate werden neu beantragt, da sie nicht die Erweiterung „Certificate Template Information“ beinhalten. Diese wird vom Autoenrollment-Client ausgewertet um feststellen zu können, ob bereits ein Zertifikat vorliegt oder ein neues beantragt werden muss. Ist die Erweiterung nicht vorhanden, wird bei jedem Aufruf des Autoenrollment Prozesses eine neue Zertifikatbeantragung vorgenommen.
Meistens ist die Ursache darin zu finden, dass die entsprechende Zertifikaterweiterung im Policy-Modul der Zertifizierungsstelle deaktiviert wurde.
Dies kann mit folgendem Kommandozeilenbefehl ermittelt werden.
certutil -getreg policy\DisableExtensionList
Taucht der Objektidentifizierer 1.3.6.1.4.1.311.21.7 (szOID_CERTIFICATE_TEMPLATE) in der Liste auf, wird er von der Zertifizierungsstelle nicht in ausgestellte Zertifikate eingetragen.
Der Eintrag kann mit folgendem Kommandozeilenbefehl entfernt werden.
certutil -setreg policy\DisableExtensionList -1.3.6.1.4.1.311.21.7
Le service d'autorité de certification doit ensuite être redémarré pour que les modifications prennent effet.
Nun sollte die Zertifikaterweiterung wieder in ausgestellte Zertifikate eingetragen werden.
Liens complémentaires :
- Bases de la demande manuelle et automatique de certificats via Lightweight Directory Access Protocol (LDAP) et Remote Procedure Call / Distributed Common Object Model (RPC/DCOM)
- Alle für eine Zertifikatvorlage ausgestellten Zertifikate automatisch von den Zertifikatinhabern erneuern lassen
- Suppression des extensions spécifiques à ADCS des certificats
- Le répondeur en ligne (OCSP) demande de nouveaux certificats de signature toutes les quatre heures
Sources externes :
- IDs d'objets associés à la cryptographie Microsoft (Microsoft, lien archive)
- Traitement de l'extension de requête dans l'Autorité de Certification Active Directory (PKI Solutions, Inc.)
Français 
Deutsch 
English