Проблема с "наложением" сертификатов в MS PKI


Описание инфраструктуры: Одноуровневая PKI Enterprise типа (интегрированная с AD) на Windows 2003 Server.
Суть проблем:
1) клиенты могут получать несколько сертификатов (раздача идет в автоматическом режиме). Т.е. один пользователь может иметь одновременно несколько действительных сертификатов. Механизм выбора сертификата для шифрования не понятен.
2) Даже если у пользователя есть n-отозванных сертификатов и только 1 действительный, то AD все равно шифрует не понятно на каком сертификате и при выборе сертификатов – из AD подтягиваются ВСЕ сертификаты полученные когда-либо пользователем (при выборе отозванного система ругается, но не перебирать же их в ручную)
Вопрос: как бороться с 1) и 2).
Всем заранее спасибо за участие.