置き換えられた証明書テンプレートとユーザーの AD ストアへの影響

この記事では、証明書テンプレートに置き換えられた問題の解決策と、ユーザーの AD ストアへの影響について説明します。

元の KB 番号: 2884551

現象

ユーザーの AD ストアから他の証明書テンプレートに置き換えられる証明書テンプレートに基づく証明書の削除は、自動登録の一環として XP/W2k3 で機能しました。
手順の再現 (Vista 以降):

1. ユーザーの自動登録ポリシーを構成します (ポリシーが有効になっていて、両方のチェック ボックスが自動登録構成ウィンドウでチェック されていることを確認します。
2. 重複するユーザー証明書テンプレート (TestTemplate1 など) は、AD で発行されている証明書がアクティブ化されていることを確認し、テンプレートに対する読み取り、登録、自動登録のアクセス許可をテスト ユーザーに割り当てます。
3. CA で TestTemplate1 テンプレートを発行します。
4. テスト ユーザーとしてログオンし、自動登録でテンプレート TestTemplate1 に基づいて証明書を取得することを確認します。
5. TestTemplate1 (TestTemplate2 など) を複製して新しい証明書テンプレートを構成します。TestTemplate2 が TestTemplate1 をスーパーシードするスーパーシード タブで設定し、AD で発行されている証明書がアクティブになっていることを確認し、TestTemplate2 の読み取り、登録、自動登録のアクセス許可がテスト ユーザーに設定されていることを再確認します。
6. CA で TestTemplate2 テンプレートを発行します。
7. テスト ユーザーとしてログオンし、自動登録を介して新しいテンプレート TestTemplate2 に基づいて証明書を取得することを確認します。
8. DC で dsa.msc を開き、テスト ユーザーを見つけ、プロパティを開き、AD に発行された 2 つの証明書があります。1 つは TestTemplate1 に基づいており、もう 1 つは TestTemplate2 に基づいています (XP/W2k3 では、置き換えられるテンプレートに基づく証明書 TestTemplate1 が削除されたため、1 つだけになります)。

原因

この機能は、Vista 以降の Windows バージョンで削除されました。

解決方法

回避策は、特定のテンプレートによって発行されたすべての証明書を削除することです。V1 テンプレートの場合: certutil -delstore -user ldap: InternalTemplateName V2 以降のテンプレートの場合: certutil -delstore -user ldap: TemplateOID InternalTemplateName はローカライズされていないテンプレート名 (AD のテンプレート オブジェクトの CN) です。 上記のコマンドは、特定のテンプレートを使用して発行された DS ストアからすべての証明書を削除します。

詳細

コードの変更は、証明書ローミング機能が導入された後に発生する問題に対処するために、Windows Vista/2008 の時間枠中に行われました (たとえば、エンド証明書を別のマシンで不明な CSP で作成し、資格情報ローミングを使用してローミングしたり、ローミングされた RSA ベースの証明書の発行元 CA に不明な署名アルゴリズム> が含まれている場合など)、両方のシナリオでエンド 証明書が AD から削除されます。 有効な場合でも)。