Hat man das auto-enrollment konfiguriert und möchte nachträglich das Zertifikat auf dem Stick erneut generieren, lässt sich dies manuell auf einem Windows-System anstoßen.
Voraussetzung ist, dass in der Windows-CA, das Zertifikat des Users revoked wurde.
Jetzt als jeweiliger User, welcher für sich ein Zertifikat auf seinem Key speichern möchte, an der Windows-Domäne anmelden.
Erscheint rechts unten kein Zertifikats-Enrollment-Aufforderungsdialog (geiles Wort), kann dies manuell angefordert werden.
mmc.exe -> Zertifikat auswählen bestätigen.
Rechtsklick auf Eigene Zertifikate – > Alle Aufgaben -> neues Zertifikat anfordern. Dialog wie in der Bilderstrecke folgen.
Achtung: Die YubikeyKeyTouchPolicy kann nur durch Neu-Anforderung eines Zertifikates geändert werden. Egal was in einer GPO bzw. lokalen Registry gesetzt ist, diese Einstellung 1,2,3)… greift nur einmalig beim Enrollment des Keys und kann nachträglich auch nicht ausgelesen werden.
