Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Lösung für das Problem, das abgelöste Zertifikatvorlagen und auswirkungen auf den AD-Speicher des Benutzers hat.
Ursprüngliche KB-Nummer: 2884551
Symptome
Das Löschen von Zertifikaten basierend auf den Zertifikatvorlagen, die von anderen Zertifikatvorlagen abgelöst werden, aus dem AD-Speicher des Benutzers funktionierte im Rahmen der automatischen Registrierung in XP/W2k3.
Schritte zur Erneuten Propro (Vista und höher):
- Konfigurieren sie die Richtlinie für die automatische Registrierung des Benutzers (stellen Sie sicher, dass die Richtlinie aktiviert ist, und beide Kontrollkästchen sind im Konfigurationsfenster für die automatische Rolle aktiviert.
- Doppelt vorhandene Benutzerzertifikatvorlage (name it for example TestTemplate1), make sure that the certificate publishing in AD is activated and assign to the test user read, enroll, and autoenroll permissions on the template.
- Veröffentlichen Sie die Vorlage "TestTemplate1" in der Zertifizierungsstelle.
- Melden Sie sich als Testbenutzer an, und stellen Sie sicher, dass der Benutzer das Zertifikat basierend auf der Vorlage TestTemplate1 über die automatische Registrierung erhält.
- Konfigurieren Sie neue Zertifikatvorlage durch Duplizieren von TestTemplate1 (name it for example TestTemplate2), set in the superseeded tab that TestTemplate2 superseed the TestTemplate1, make sure that the certificate publishing in AD is activated and double check that test user has Read, Enroll, and Autoenroll permissions set for TestTemplate2.
- Veröffentlichen Sie die TestTemplate2-Vorlage auf der Zertifizierungsstelle.
- Melden Sie sich als Testbenutzer an, und überprüfen Sie, ob der Benutzer das Zertifikat basierend auf der neuen Vorlage TestTemplate2 über die automatische Registrierung erhält.
- Öffnen Sie auf dem DC dsa.msc den Testbenutzer, öffnen Sie die Eigenschaften, und es werden zwei Zertifikate in AD veröffentlicht, eine basierend auf TestTemplate1 und die andere basierend auf TestTemplate2 (auf XP/W2k3 wäre nur ein Zertifikat vorhanden, da das Zertifikat basierend auf der Vorlage, die abgelöst wird, TestTemplate1 gelöscht wurde).
Ursache
Dieses Feature wurde in Vista und nachfolgenden Windows-Versionen entfernt.
Lösung
Problemumgehung besteht darin, alle zertifikate zu löschen, die von einer bestimmten Vorlage ausgegeben wurden: Für eine V1-Vorlage: certutil -delstore -user ldap: InternalTemplateName Für eine V2- oder höher-Vorlage: certutil -delstore -user ldap: TemplateOID InternalTemplateName ist der nicht lokalisierte Vorlagenname (der CN des Vorlagenobjekts in AD). Über dem Befehl werden alle Zertifikate aus dem DS-Speicher gelöscht, die mit einer bestimmten Vorlage ausgestellt wurden.
Weitere Informationen
Die Codeänderung wurde während des Windows Vista/2008-Zeitrahmens vorgenommen, um Probleme zu beheben, die nach der Einführung des Zertifikatroamingfeatures ausgelöst wurden (z. B. kann ein Endzertifikat mit einem unbekannten CSP auf einem anderen Computer erstellt und mithilfe von Anmeldeinformationsroaming übertragen werden, oder die ausstellende Zertifizierungsstelle eines RSA-basierten Zertifikats, das roamingt, hat einen unbekannten Signaturalgorithmus> . Beide Szenarien führen dazu, dass das Endzertifikat aus AD entfernt wird, auch wenn es gültig ist).