В процессе тестирования системы Microsoft PKI я столкнулся с непонятной проблемой, когда сертификат в центре сертификации отозван, CRL опубликован, но клиентский компьютер не запрашивает для пользователя новый сертификат.

Когда вы развернули в своей сети центр сертификации от Microsoft Active Directory Certification Services (ADCS), ваши доменные пользователи могут иметь сертификаты для шифрации\дешифрации электронной почты. И конечно же ваш отдел безопасности обязательно захочет иметь возможность читать письма пользователей для анализа их лояльности. Поэтому у вас как у системного администратора, должна быть возможность предоставить им такой функционал.

Как же это сделать?

Столкнулся с проблемой, когда пользователь, работающий на Windows XP, не может запросить сертификат у Центра сертификации (ADCS), который запущен на Windows Server 2012 R2.

Первоначально мастер запроса сертификата вообще не запускался, а потом запускался, но на финальном этапе выдавал ошибку доступа.

I've faced problem when user logged on computer running Windows XP, cannot enroll certificate from Certification Authority running on Windows Server 2012 R2.

First, enroll wizard didnt start at all, and then it start but at the final step access error was shown.

Если у вас в сети все еще есть старые клиентские ПК под управлением Windows XP, вы можете столкнуться со следующей ошибкой при попытке запроса сертификата из центра сертификации Microsoft - Active Directory Certification Services (ADCS), работающем на Windows Server 2012 R2:

EventID 13
Источник AutoEnrollment
0x80094011
The permissions on this certification authority do not allow the current user to enroll for certificates (эту ошибку можно найти в Application Event Log на клиентском компьютере).