none
Smazani certifikatu z AD

    Dotaz

  • Pouzivam W2008 jako CA, pokud vydam user certifikat tak se mi zapise do AD do polozky Published Certificates, casem certifikatu vyprsi platnost nebo jej musim rucne revokovat a vystavit novy. V CA vidim certifikat revokovany v CLR je take oznacen jako revokovany, ale v AD zustava stale spolu s nove platnym certifikatem. Existuje nejaka moznost jak automaticky mazat z AD revokovane certifikaty? Napadlo me zapnout v GPO funkci autoenrollment a upravit i certifikacni template, ale v GPO pod polozkou User Configuration - Windows Settings - Security settings - Public Key Policies - Certificate Service Client auto enrollment je volba renew expired certificate, update pending a remove revoked certificate, ale ja chci aby to delalo pouze automaticke revokovani a ne treba automaticke vystavovani vyprsenych certifikatu.
    30. března 2011 15:42

Odpovědi

  • Zdravim,

    nie som si isty, ci chapem Vasu poziadavku, ale mne ta GPO polozka "Renew expired certificates, update pending certificates, and remove revoked certificates" pride ako dobra volba ...

    Ak uzivatelovi konfigurujete certifikat, ktory ma dostat automaticky, na sablonu prislusneho typu certifikatu uzivatelovi date pravo Autoenroll a pomocou uvedenej polozky konfigurujete Certificate agenta, aby ten klient tie certifikaty ziskal, nie? Je celkom fajn, ze po sebe aj "uprace", nie ?

    Ak nechcete, aby nejaky user ziskal certifikaty automaticky, nedajte mu pravo "Autoenroll" na dany certifikat a tym padom mate situaciu vyriesenu ... Ak user certifikat chce, musi si on zaziadat manualne ( MMC, certreq.exe, ... )

     

    Boris

    30. března 2011 16:17
  • po mensi diskuzi s Borisem a pruzkumu v ADcku by mohla byt pravda:

    http://technet.microsoft.com/en-us/library/bb456981.aspx#EGAA

    tu sa pise, ze :

    Autoenrollment deletes expired and revoked certificates in the userCertificate attribute on the user object in Active Directory. This feature is enabled automatically to help ensure that only valid and active certificates are used for encryption operations.

    myslel jsem jen, ze uzivatel nema sam pristup, aby si to tam pridaval, nebo mazal, ale zda se, ze klidne muze. takze to ten autoenrollment zrejme opravdu umi odstranit.

    pokud chcete vyzkouset, na stanici pod tim uzivatelem si spustte:

    certutil -pulse (pro Windows XP, 2003)

    certutil -user -pulse (pro Windows Vista/2008 a novejsi)

     

    ondra.

     

    

     

    2. dubna 2011 7:55

Všechny reakce

  • Zdravim,

    nie som si isty, ci chapem Vasu poziadavku, ale mne ta GPO polozka "Renew expired certificates, update pending certificates, and remove revoked certificates" pride ako dobra volba ...

    Ak uzivatelovi konfigurujete certifikat, ktory ma dostat automaticky, na sablonu prislusneho typu certifikatu uzivatelovi date pravo Autoenroll a pomocou uvedenej polozky konfigurujete Certificate agenta, aby ten klient tie certifikaty ziskal, nie? Je celkom fajn, ze po sebe aj "uprace", nie ?

    Ak nechcete, aby nejaky user ziskal certifikaty automaticky, nedajte mu pravo "Autoenroll" na dany certifikat a tym padom mate situaciu vyriesenu ... Ak user certifikat chce, musi si on zaziadat manualne ( MMC, certreq.exe, ... )

     

    Boris

    30. března 2011 16:17
  • nene, to automaticky nejde. musel byste mit nejakou utilitku, ktera by to odmazavala. obecne je zbytecne ty certifikaty publikovat, protoze nejspis nepouzivate ani EFS ani podepisovani mailu, takze bych si to vypnul v cert-template.

    ondra.

     

    1. dubna 2011 11:29
  • po mensi diskuzi s Borisem a pruzkumu v ADcku by mohla byt pravda:

    http://technet.microsoft.com/en-us/library/bb456981.aspx#EGAA

    tu sa pise, ze :

    Autoenrollment deletes expired and revoked certificates in the userCertificate attribute on the user object in Active Directory. This feature is enabled automatically to help ensure that only valid and active certificates are used for encryption operations.

    myslel jsem jen, ze uzivatel nema sam pristup, aby si to tam pridaval, nebo mazal, ale zda se, ze klidne muze. takze to ten autoenrollment zrejme opravdu umi odstranit.

    pokud chcete vyzkouset, na stanici pod tim uzivatelem si spustte:

    certutil -pulse (pro Windows XP, 2003)

    certutil -user -pulse (pro Windows Vista/2008 a novejsi)

     

    ondra.

     

    

     

    2. dubna 2011 7:55