Es werden regelmäßig neue Zertifikate über Autoenrollment beantragt

Folgendes Szenario angenommen:

  • Es ist eine Zertifikatvorlage für die automatische Beantragung und Ausstellung (AutoEnrollment) konfiguriert.
  • Benutzer oder Computer beantragen in regelmäßigen Abständen und lange vor dem definierten Erneuerungszeitraum neue Zertifikate.

Im Zertifikatspeicher des betreffenden Benutzers bzw. Computers fällt auf, dass keine Information zu Zertifikatvorlagen der betreffenden Zertifikate angezeigt wird.

Ursache

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Die Auslöser für eine automatische Zertifikatbeantragung durch den Autoenrollment Prozess sind:

  • Bei Anmeldung des Benutzers (bei Computern, wenn sich das Computerkonto anmeldet, also beim Systemstart).
  • Per Timer alle 8 Stunden.
  • Bei einer Aktualisierung der Gruppenrichtlinien, vorausgesetzt, es gab eine Änderung.

Die Zertifikate werden neu beantragt, da sie nicht die Erweiterung "Certificate Template Information" beinhalten. Diese wird vom Autoenrollment-Client ausgewertet um feststellen zu können, ob bereits ein Zertifikat vorliegt oder ein neues beantragt werden muss. Ist die Erweiterung nicht vorhanden, wird bei jedem Aufruf des Autoenrollment Prozesses eine neue Zertifikatbeantragung vorgenommen.

Meistens ist die Ursache darin zu finden, dass die entsprechende Zertifikaterweiterung im Policy-Modul der Zertifizierungsstelle deaktiviert wurde.

Dies kann mit folgendem Kommandozeilenbefehl ermittelt werden.

certutil -getreg policy\DisableExtensionList

Taucht der Objektidentifizierer 1.3.6.1.4.1.311.21.7 (szOID_CERTIFICATE_TEMPLATE) in der Liste auf, wird er von der Zertifizierungsstelle nicht in ausgestellte Zertifikate eingetragen.

Der Eintrag kann mit folgendem Kommandozeilenbefehl entfernt werden.

certutil -setreg policy\DisableExtensionList -1.3.6.1.4.1.311.21.7

Der Zertifizierungsstellen-Dienst muss anschließend neu gestartet werden, damit die Änderungen wirksam werden.

Nun sollte die Zertifikaterweiterung wieder in ausgestellte Zertifikate eingetragen werden.

Weiterführende Links:

Externe Quellen:

de_DEDeutsch