Der lokale Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen wird nicht aus dem Active Directory synchronisiert

Supposons le scénario suivant :

Es ist eine Zertifizierungsstellen-Hierarchie im Netzwerk etabliert und die Stammzertifizierungsstelle ist in der Configuration-Partition der Active Directory Gesamtstruktur abgebildet.
Die Domänenmitglieder sind konfiguriert, den Autoenrollment-Prozess auszuführen und somit vertrauenswürdige Stammzertifizierungsstellen aus der Configuration-Partition zu aktualisieren.
Bei einigen Clients funktioniert dieser Prozess allerdings nicht. Die Stammzertifizierungsstellen-Zertifikate werden nicht automatisch heruntergeladen und in den lokalen Vertrauensspeicher eingetragen.
Als Folgeerscheinung können Zertifikatbeantragungen fehlschlagen, da beispielsweise der Zertifizierungsstellen-Hierarchie nicht vertraut wird.

Die physischen Zertifikatspeicher können durch Rechtsklick auf den Zertifikatspeicher und Auswahl „View“ – „Options…“ angezeigt werden.

Die Option „Physical certificate stores“ muss ausgewählt werden.

Cause

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Die höchstwahrscheinliche Ursache ist, dass das Zertifikat manuell aus dem Zertifikatspeicher gelöscht wurde.

Wenn ein Zertifikat aus einem Speicher gelöscht wird, welcher durch den Autoenrollment Prozess verwaltet wird, und es keine Änderung auf Seite des Verzeichnisdienstes gibt, wird der lokale Zertifikatspeicher nicht wieder erneut aktualisiert.

Der letzte Synchronisierungs-Stand ist lokale in einem Registrierungsschlüssel namens „AEDirectoryCache“ zwischengespeichert, in welchem lokale Löschungen nicht abgebildet werden. Entsprechend wird ein gelöschtes Zertifikat auch nicht durch den Autoenrollment Prozess wiederhergestellt.

Solution

Folgender Registry-Schlüssel muss auf betroffenen Clients gelöscht werden:

Für den Maschinenkontext:

HKLM\SOFTWARE\Microsoft\Cryptography\AutoEnrollment\AEDirectoryCache

Pour le contexte de l'utilisateur :

HKCU\SOFTWARE\Microsoft\Cryptography\AutoEnrollment\AEDirectoryCache

Anschließend kann eine erneute Synchronisierung versucht werden.

certutil -pulse [-user]

Autoenrollment muss mit den Mindest-Einstellungen aktiviert sein (Group Policy: „Not configured“, AEPolicy: 0x0).

Liens complémentaires :

Bases de la demande manuelle et automatique de certificats via Lightweight Directory Access Protocol (LDAP) et Remote Procedure Call / Distributed Common Object Model (RPC/DCOM)

Sources externes

Certificate Autoenrollment in Windows Server 2016 (part 4) (Vadims Podans)
Workstation „retrieving“ certificates from AD Central Store (Forums Microsoft TechNet)
How to Force a DC to Attempt Certificate Autoenrollment (David Ball)