Por que você não desativa a opção "Permitir que a chave particular seja exportada" neste item específico modelo? Então, ninguém pode até selecionar essa opção. Parece que fazer isso resolveria seu problema maior.
Temos um Windows 2008 R2 executando uma autoridade de certificação autônoma (CA) e o registro na Web, para que os usuários acessem o link websote para certificados de solicitação. O formulário de solicitação avançada de certificado (/certsrv/certrqma.asp) permite solicitar um certificado com "Marcar chaves como exportáveis" (caixa de seleção).
Veja a foto: link
Gostaria de saber se existe uma maneira da autoridade de certificação determinar se o usuário fez check-in da opção "Marcar chaves como exportáveis"? - Por exemplo, da lista de solicitações pendentes da CA:
Veja a foto: link
Nosso objetivo é Negar as solicitações "Marcar chaves como exportáveis", para que o usuário não exporte o certificado e instale-o em outro computador.
Por que você não desativa a opção "Permitir que a chave particular seja exportada" neste item específico modelo? Então, ninguém pode até selecionar essa opção. Parece que fazer isso resolveria seu problema maior.
Como a MDMarra disse - não é da conta da CA como o cliente lida com as chaves, então a correção terá que ser na fase em que o usuário gera a chave.