Назначение сторонних клиентских сертификатов / ключей пользователям Active Directory

В нашей организации есть ряд сторонних поставщиков, с которыми мы должны взаимодействовать с помощью клиентских сертификатов. Мы хотели бы иметь возможность назначать сертификаты / ключи конкретному пользователю Active Directory, чтобы:

• Пользователи не должны знать или заботиться о том, как установить сертификат; необходимые им сертификаты устанавливаются для них, например, при входе в систему
• Мы можем проверять срок действия этих клиентских сертификатов, чтобы гарантировать, что администраторы запрашивают новые сертификаты в зависимости от обстоятельств.
• Когда сотрудник покидает компанию, у него нет копии ключевого материала, который он может взять с собой, и он продолжает доступ к третьей стороне.

Это то, что можно сделать с какой-то частью Active Directory? Это даже то, что мы должны попытаться сделать?