[2003] tp Certificaten distribueren via AD

Ik ben bezig met vernieuwen van een bestaand netwerk waarbij vanuit een werkgroep wordt gemigreerd naar een Windows 2003 domein met XP clients. Voor authenticatie van de medewerkers op websites van derden worden certificaten gebruikt. Tot nu toe werden deze iedere keer handmatig bijgewerkt op alle werkstations.

Ik ben op zoek naar een mogelijkheid om deze persoonlijke certificaten te distribueren via AD.
De personal information exchange (.p12) certificaten zijn niet door onszelf uitgegeven, maar door Diginotar; het instellen van een automated certificate request is dus geen optie. Omdat het geen domeinlogon/authenticate is, gaat dit ([rml][ 2003] Digitale certificaten en windows 2003[/rml]) topic en de Microsoft info helaas niet op.

Via AD lukt het wel om een trusted root certificate van deze CA te distribueren, als enterprise trust (nodig voor het automatisch laten goedkeuren van de certificaten die de webhosters in kwestie gebruiken).
Ik verwacht dat de te distribueren certificaten op de clients te zien zijn in de personal certificate store die o.a. te bekijken is via de Internet Explorer, o.a. geprobeerd via de Internet Explorer Maintenance, Security groep in GPO, maar het lukt niet.

Kan dit en zoja, waar moet ik zoeken?

dat krijg je er van als je werkt tijdens de vakantie ...

Inderdaad; dat werkt niet volgens mijn bevindingen. Het distribueren van een 'echt' extern root certificaat werkt inderdaad wel via AD. Daarom vind ik het nog steeds raar. Mijns inziens is er niet echt een goede reden te verzinnen waarom je alleen self-signed certificates kan uitrollen middels AD als het wel mogelijk is om een third-party root certificate te distribueren.

Helemaal droevig vind ik het feit dat als een medewerker dan een identificatiecertificaat in z'n store heeft gezet, dit niet meegenomen wordt in het roaming profile, maar dat dit machine afhankelijk is!
Het moet nog getest, maar hier biedt de Flex Profile Kit waarschijnlijk uitkomst.