YubiKey-Zertifikate werden nach Appterix-Enrollment als gesperrt angezeigt

Bei der Nutzung von Appterix zur Bereitstellung (Enrollment) von Zertifikaten für die Anmeldung am Microsoft Active Directory mittels YubiKeys kann folgendes Verhalten auftreten:

– Benutzer können sich nur zeitweise anmelden; danach wird das Zertifikat als gesperrt angezeigt.

– In der Windows-Zertifikatsanzeige erscheint die Meldung:„Dieses Zertifikat wurde durch seine Zertifizierungsstelle gesperrt“

Ursache

Die vorzeitige Sperrung der über das Appterix-Enrollment ausgestellten Zertifikate liegt in der Regel an einem zu großzügig konfigurierten Zertifikatserneuerungszeitraum.

Wenn der Erneuerungszeitraum (in Tagen) zu nah an der Gesamtlaufzeit des Zertifikats liegt, stößt Appterix die Erneuerung zu früh an.

Beispiel: Ist das Zertifikat für 365 Tage gültig und der Erneuerungszeitraum steht ebenfalls auf 365 Tagen, versucht das System das Zertifikat unmittelbar nach der Ausstellung erneut zu erneuern, was zur Sperrung des vorherigen Zertifikats führt.

Lösung

Prüfen und korrigieren Sie die Einstellungen zur Zertifikatserneuerung in der Appterix-Verwaltungskonsole:

– Melden Sie sich in der Appterix Verwaltungs-UI an.

– Navigieren Sie zu Einstellungen > YubiKey Management.

– Prüfen Sie, ob die Option PKI-Zertifikatserneuerung aktiviert ist.

– Falls aktiv, überprüfen Sie den Wert im Feld Erneuerungszeitraum (in Tagen):

Richtwert: Dieser Wert darf nicht der unmittelbaren Gesamtlaufzeit des Zertifikats entsprechen.

Beispiel: Hat Ihr Zertifikat eine Gültigkeit von 365 Tagen, sollte der Erneuerungszeitraum auf einen deutlich kleineren Wert (z. B. 90 Tage vor Ablauf) eingestellt werden.

– Speichern Sie die Änderungen.