Qual è il modo migliore per riemettere i certificati utente dopo la modifica della configurazione in un modello?

4

Ho installato il mio ambiente MS-ADCS nella mia azienda e configurato l'auto-registrazione. Ho tutto funzionante, ma ho scoperto che voglio che il mio "Subject Name Format" abbia un valore diverso. Non stiamo ancora utilizzando i certificati in alcun servizio, quindi non ci sono problemi a rimuoverli e riemetterne di nuovi. La mia domanda è: quale sia il metodo migliore o giusto per rimuovere tutti i certificati emessi (~ 200) con il valore soggetto errato e distribuire i nuovi certificati con il nuovo ( e giusto) valore soggetto? Tutti gli utenti sono in AD e posso utilizzare script o criteri di gruppo, se necessario.

Grazie.

EDIT: solo per chiarire il mio intento - preferisco rimuovere / eliminare i certificati emessi con il formato soggetto sbagliato e non mi interessa a questo punto la lista di revoche (nota - ne sono consapevole delle conseguenze).

    
posta DaveIce 17.12.2018 - 09:56
fonte

3 risposte

4

ADCS ha una funzione per questo.

Supponendo di aver configurato il criterio di gruppo Certificate Services Client - Auto-Enrollment , è sufficiente creare un nuovo modello in MMC con la configurazione SAN corretta e aggiungere il nome del modello originale alla scheda Superseded Templates . I criteri di gruppo si registreranno per un nuovo certificato con questo modello e verranno eliminati automaticamente.

Non è necessario revocare nulla poiché nulla è stato compromesso.

    
risposta data 17.12.2018 - 11:37
fonte
1

Se non si utilizzano i certificati in alcun servizio e non si dispone di un'autentica funzione, suppongo che sarebbe meglio revocare la CA intermedia emittente e crearne una nuova emettendo i certificati giusti.
Questo sarebbe il modo più gestibile per revocare tutti i certificati e il CRL non si gonfierà prima ancora di iniziare a utilizzare i certificati.

    
risposta data 17.12.2018 - 10:05
fonte
1

Penso di aver trovato la risposta: facendo clic con il pulsante destro sul modello con la nuova modifica, è disponibile un'opzione per "Reenroll All Certificate Holders". Dopo averlo scelto, la versione del modello aumenta, quindi la prossima volta che il client verifica la versione del certificato rispetto alla versione del modello sulla CA, il client verrà reiscritto. L'ho provato con un riavvio di uno dei laptop e il risultato era solo 1 certificato utente con il giusto formato soggetto. nota: penso che per mostrare questa opzione, la registrazione automatica deve essere configurata per il modello.

    
risposta data 17.12.2018 - 12:08
fonte

Leggi altre domande sui tag