¿Cuál es la mejor manera de volver a emitir certificados de usuario después de un cambio de configuración en una plantilla?

4

He configurado mi entorno MS-ADCS en mi empresa y configuré la inscripción automática. Tengo todo funcionando bien, pero descubrí que quiero que mi "Formato de nombre del sujeto" tenga un valor diferente. Aún no estamos utilizando los certificados en ningún servicio, por lo que no hay ningún problema real para eliminarlos y volver a emitir otros nuevos. Mi pregunta es: ¿cuál es la forma mejor o correcta de eliminar todos los certificados emitidos (~ 200) con el valor de sujeto incorrecto e implementar los nuevos certificados con el nuevo ( y derecha) valor del sujeto? Todos los usuarios están en AD y puedo usar scripts o políticas de grupo si es necesario.

Gracias.

EDITAR: solo para aclarar mi intención: prefiero eliminar / eliminar los certificados emitidos con el formato de asunto incorrecto y no me importa en este momento la lista de revocaciones (nota: soy consciente de la consecuencia).

    
pregunta DaveIce 17.12.2018 - 09:56
fuente

3 respuestas

4

ADCS tiene una característica para esto.

Suponiendo que tiene configurada la política de grupo Certificate Services Client - Auto-Enrollment , simplemente cree una nueva plantilla en la MMC con la configuración SAN correcta y agregue el nombre de la plantilla original a la pestaña Superseded Templates . La política de grupo se inscribirá en un nuevo certificado con esta plantilla y eliminará el original por usted.

No hay necesidad de revocar nada ya que no se ha comprometido nada.

    
respondido por el garethTheRed 17.12.2018 - 11:37
fuente
1

Si no usa los certificados en ningún servicio y no tienen un cajero automático de propósito real, supongo que sería lo mejor revocar la CA intermedia emisora y crear una nueva que emita los certificados correctos.
Esta sería la forma más fácil de revocar todos los certificados y su CRL no se hincharía antes de que empiece a usar los certificados.

    
respondido por el Lithilion 17.12.2018 - 10:05
fuente
1

Creo que he encontrado la respuesta: Al hacer clic con el botón derecho en la plantilla con el nuevo cambio, hay una opción para "Reinscribir todos los titulares de certificados". Una vez que se elige eso, la versión de la plantilla aumenta, por lo que la próxima vez que el cliente verifique la versión del certificado con la versión de la plantilla en la CA, el cliente volverá a inscribirse. Lo probé con un reinicio de una de las computadoras portátiles y el resultado fue solo 1 certificado de usuario con el formato de Asunto correcto. Nota: creo que para que aparezca esta opción, la inscripción automática debe estar configurada para la plantilla.

    
respondido por el DaveIce 17.12.2018 - 12:08
fuente

Lea otras preguntas en las etiquetas