Hallo,
in einem AD mit interner CA haben wir eine (Benutzer-)Zertifikatvorlage, deren Zertifikate eine Gültigkeit von 6 Monaten haben. Als Erneuerungszeitraum haben wir 3 Monate konfiguriert. Mitglieder einer bestimmten AD-Sicherheitsgruppe haben die Berechtigungen Lesen, Registrieren und Automatisch registrieren.
In einer GPO ist unter Benutzerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Richtlinien für öffentliche Schlüssel / Zertifikatdienstclient - Automatische Registrierung aktiviert, so dass abgelaufene Zertifikate erneuert werden sollen. Das GPO greift auch, die Zertifikate werden automatisch bei der CA beantragt und registriert.
Nun zum seltsamen Verhalten: ca. 4 Wochen vor Ablauf eines Benutzerzertifikats wird ein neues Zertifikat durch die CA ausgestellt und im AD-Konto des Benutzers hinterlegt. Zu diesem Zeitpunkt ist der Benutzer aber überhaupt nicht online, d.h. weder an einem AD-Computer angemeldet, noch per ActiveSync noch per VPN-Client verbunden.
Benutzer, die zu genau diesem Zeitpunkt (längere Zeit) außer Haus sind, können daraufhin die Applikation, in der das Zertifikat genutzt wird nicht mehr benutzen, da sie auf ihrem Rechner das neue Zertifikat noch gar nicht haben.
Kann man dieses Verhalten beeinflussen, so dass die Erneuerung von Zertifikaten nur stattfindet, wenn ein Benutzer auch im AD angemeldet ist?
Viele Grüße,
AMiGA