Der lokale Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen wird nicht aus dem Active Directory synchronisiert

Folgendes Szenarion angenommen:

• Es ist eine Zertifizierungsstellen-Hierarchie im Netzwerk etabliert und die Stammzertifizierungsstelle ist in der Configuration-Partition der Active Directory Gesamtstruktur abgebildet.
• Die Domänenmitglieder sind konfiguriert, den Autoenrollment-Prozess auszuführen und somit vertrauenswürdige Stammzertifizierungsstellen aus der Configuration-Partition zu aktualisieren.
• Bei einigen Clients funktioniert dieser Prozess allerdings nicht. Die Stammzertifizierungsstellen-Zertifikate werden nicht automatisch heruntergeladen und in den lokalen Vertrauensspeicher eingetragen.
• Als Folgeerscheinung können Zertifikatbeantragungen fehlschlagen, da beispielsweise der Zertifizierungsstellen-Hierarchie nicht vertraut wird.

Die physischen Zertifikatspeicher können durch Rechtsklick auf den Zertifikatspeicher und Auswahl "View" – "Options…" angezeigt werden.

Die Option "Physical certificate stores" muss ausgewählt werden.

Ursache

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Die höchstwahrscheinliche Ursache ist, dass das Zertifikat manuell aus dem Zertifikatspeicher gelöscht wurde.

Wenn ein Zertifikat aus einem Speicher gelöscht wird, welcher durch den Autoenrollment Prozess verwaltet wird, und es keine Änderung auf Seite des Verzeichnisdienstes gibt, wird der lokale Zertifikatspeicher nicht wieder erneut aktualisiert.

Der letzte Synchronisierungs-Stand ist lokale in einem Registrierungsschlüssel namens "AEDirectoryCache" zwischengespeichert, in welchem lokale Löschungen nicht abgebildet werden. Entsprechend wird ein gelöschtes Zertifikat auch nicht durch den Autoenrollment Prozess wiederhergestellt.

Lösung

Folgender Registry-Schlüssel muss auf betroffenen Clients gelöscht werden:

Für den Maschinenkontext:

HKLM\SOFTWARE\Microsoft\Cryptography\AutoEnrollment\AEDirectoryCache

Für den Benutzerkontext:

HKCU\SOFTWARE\Microsoft\Cryptography\AutoEnrollment\AEDirectoryCache

Anschließend kann eine erneute Synchronisierung versucht werden.

certutil -pulse [-user]

Autoenrollment muss mit den Mindest-Einstellungen aktiviert sein (Group Policy: "Not configured", AEPolicy: 0x0).

Weiterführende Links:

• Grundlagen manuelle und automatische Zertifikatbeantragung über Lightweight Directory Access Protocol (LDAP) und Remote Procedure Call / Distributed Common Object Model (RPC/DCOM)

Externe Quellen

• Certificate Autoenrollment in Windows Server 2016 (part 4) (Vadims Podans)
• Workstation "retrieving" certificates from AD Central Store (Microsoft TechNet Foren)
• How to Force a DC to Attempt Certificate Autoenrollment (David Ball)