Verwijderen lokaal certificaat

Om mail te kunnen ondertekenen heb ik een nieuw certificate template gemaakt en deze via een GPO met autoenrollment uitgerold binnen mijn domein.
Dit werkt prima. Gebruikers hebben hun certificaat keurig lokaal geïnstalleerd gekregen en outlook kan er prima mee overweg.
Nu wil ik echter gebruik gaan maken van een smartcard. En daar kan ik mijn oude certificaat niet voor gebruiken.
Ik kan een nieuwe maken welke prima werkt.
Echter bij het signen van mail krijgt de gebruiker de vraag om het certificaat te selecteren.
Hier staat het oude certificaat, wat ik dus niet meer wil gebruiken, nog tussen.
Dit voorkomt verwarring.

Ik heb het oude certificaat gerevoked.
En op de CA een nieuwe CRL gepublished.
In de GPO van mijn 2003 server staat ook dat gerevokede certificaten verwijderd moeten worden.
Echter als ik mijn MMC open zie ik mijn locale user certificaat voor mail signen er nog tussen staan.

Nu kan ik hem hier wel handmatig weg halen. Maar hoe kan ik dit automatiseren.

Heb reeds dus al geprobeerd om een nieuwe CRL te publishen. De interval van 1 week naar 1 uur gezet.
Policies geupdates en werkstations al gereboot. Maar ik blijf mijn gerevokede certificaat zien.

Wat doe ik fout?

Iemand een idee?

De template die de certificaten uitdeelde is verwijderd.
De GPO staat goed.
Toch blijven de certificaten lokaal bestaan.

Upd: Gelukt. Settings en polcies waren gewoon goed. Getest met een nieuw certificaat.
En deze wordt keurig verwijderd.
Maar certificaten die je gebruikt voor encryption kun je niet automatisch laten verwijderen.

op zich logisch. Hierdoor zouden dus oude ge-encrypte mails niet meer te lezen zijn.
Door het commando certutil -user -delstore My %username% te gebruiken kan ik de local stores opschonen.

[ Voor 59% gewijzigd door DarkSide op 05-07-2012 15:28 ]