Mehrere Zertifikate durch Autoenrollment

Mehrere Zertifikate durch Autoenrollment

Zertifikate

Probleme mit dem Autoenrollment

Ein Benutzer oder Computer bekommt ständig neue Zertifikate ausgestellt. Der Container Personal beinhaltet mittlerweile mehrere Zertifikate. Der Trigger für das Autoenrollment startet, sobald sich ein Benutzer am System anmeldet (Computer startet), per Gruppenrichtlinie oder systemseitig alle 8 Stunden.

Mehrere Zertifikate durch Autoenrollment

Das Autoenrollment prüft während Prozedur, ob der Benutzer oder Computer bereits im Besitz eines Zertifikats ist. Dabei wird das Attribut Certificate Template Information (SHA256Web) ausgewertet.

Wenn das Attribut im Zertifikat fehlen sollte, so wird immer wieder ein neues Zertifikat ausgerollt.

Certificate Template Information

Damit das Attribut den Zertifikaten wieder hinzugefügt wird, setzen wir folgenden Befehl ab:

certutil -getreg policy\DisableExtensionList
certutil -setreg policy\DisableExtensionList -1.3.6.1.4.1.311.21.7
Restart-CertificationAuthority

DisableExtensionList

Richtlinienmodul

Ab jetzt wird die Zertifikatserweiterung den Zertifikaten wieder hinzugefügt. Die DisableExtensionList kann mehrere Attribute beinhalten, um Erweiterungen aus den Zertifikaten zu deaktivieren. Diese Eingriff bewirkt Änderungen am Richtlinienmodul.