Daha önceki PKI yapısından alınan Domain Controller Authentication template den alınmış DC sertifikalarının silinerek yeni PKI yapısından enrol edilmesi

Söyle bir senaryo söz konusu olabilir. Ortaminiza herhangi bir nedenden dolayi yeni bir PKI hiyerarsisi kurmus olabilir ve eskisini kullanmiyor olabilirsiniz .Fakat bu eski PKI yapisindan alinan sertifikalar sistemler üzerinde bulunmaktadir. Bu sertifikalar bir süre sonra expire olacaktir. Expire olduklarinda yeni CA’den sertifika almalarini saglamak için nasil bir  process izlemek gerekiyor.

Eger yeni CA e bir an önce geçmek istiyorsaniz ayrica varolan DC sertifikalarini certutil –dcinfo deleteall kullanarak silebilirsiniz.( örnegin : Eger Reenroll All Certificate Holders seçenegine izin vermeyen DomainController template'ini kullaniyorsaniz ) DC lerin belirli bir zaman periyodunda herhangi bir sertifikalari olmayacagini not ediniz.

· certutil –dcinfo ile halihazirda olan dc sertifikalari görüntülenir.

· certutil –dcinfo deleteall ile halihazirda olan dc sertifikalari silinmesi .Bu islemler yapildiktan sonra DC sertifikasi silinecektir.

· Sonrasinda Yeni CA üzerinde Domain Controller Authentication template 'i üzerinde Reenroll All Certificate Holders seçenegini tiklayarak versiyonu artiracagiz.

Domain Controller template bu template içerisinde superseded oldugu için ve Domain Controller template version 1 template oldugu ve üzerinde Reenroll All Certificate Holders seçenegini seçemeyecegimiz için bu islemi yapiyoruz.

Sonrasinda belli bier süre sonra ( Benim test sistemimde belirli bir zaman sonra oldu ) DC nin Certificates (Local Computer) store altinda /Personal altinda Certificates altinda yeni CA den issue edilen Domain Controller sertifikasini göreceksiniz. Ya da bu islemi gpupdate /force ile hizli bir sekilde olmasi için uygulayabilirsiniz.