总结

Question 1

根据文档，您所遇到的行为是预期行为，设计如此，无法关闭。Kerberos Authentication需要从 CA 到 DC 的 RPC 连接。您有哪些选择：

启用 CA 和域控制器之间的 RPC 通信。
使用Domain Contoller Authentication证书模板而不是Kerberos Authentication模板。Domain Contoller Authentication模板不需要 RPC 连接回 DC。

事实上，我记不住所有的细节，但值得称赞的是，你做了很好的调查，并指出了失败的 RPC 回调，这确实减少了可能的原因。有关发生这种情况的详细信息如下。

总结

第1部分

首先，关于证书模板：Domain Controller Authentication和Kerberos Authentication模板都用于提供对 LDAP 的支持年代（LDAP over TLS）以及证书/智能卡登录期间的相互身份验证。

两者之间的区别在于主题的构造方式，或者其中包含的内容。Domain Controller Authentication仅在 SAN 扩展中包含域控制器的 FQDN。Kerberos Authentication添加两个名称：FDQN 和域的 NetBIOS 名称。此外，Kerberos Authentication还添加了KDC AuthenticationEKU。默认模板配置在[MS-CRTD]，附录 A更明确地说：

Domain Controller Authentication主题名称具有 134217728（0x8000000）标志组合，其转换为仅标志：CT_FLAG_SUBJECT_ALT_REQUIRE_DNS
Kerberos Authentication主体名称具有 138412032 (0x8400000) 个标志组合，其转换为两个标志：CT_FLAG_SUBJECT_ALT_REQUIRE_DNS和CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS。

主题名称标志存储在msPKI-Certificate-Name-Flag属性中（[MS-CRTD] §2.28）。

您的问题是由于 SAN 中要求包含域 FQDN 和 NetBIOS 名称而导致的。Kerberos Authentication模板是唯一使用CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS标志的默认模板。

第2部分

Windows CA 使用[MS-WCCE]协议规范来处理请求和颁发证书。此协议完全指定了客户端行为以及 Windows CA 的一小部分交互和行为。[MS-WCCE] §3.2.2.1.3为作为域控制器的客户端定义一种特殊行为，并通过在其名称前面添加“\\”来准备用于 RPC 连接的名称。

第 3 部分

Windows CACT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS按照指定的方式处理[MS-WCCE] §3.2.2.6.2.1.4.5.9。

如果CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS设置了该标志，则 CA 应该：

CA 应该使用 LsarOpenPolicy 方法检索信息策略的句柄（[MS-LSAD] 第 3.1.4.4.2 节)，将SystemName参数设置为dNSHostName来自请求者的计算机对象的属性，将的所有字段ObjectAttributes设置为NULL，将DesiredAccess参数设置为POLICY_VIEW_LOCAL_INFORMATION。

CA 应使用以下LsarQueryInformationPolicy方法获取请求者的计算机 DNS 域信息（[MS-LSAD] 第 3.1.4.4.4 节)，其中PolicyHandle参数设置为上一步获取的值，InformationClass 参数设置为PolicyDnsDomainInformation。

CA 必须将上一步返回的 DNS 域信息中的Name和字段的值添加到颁发证书的主题备用名称扩展中。DNSDomainName

如您所见，LsarOpenPolicy调用确实是 RPC 调用，并在成功时返回 RPC 连接的句柄。在您的例子中，此调用失败，CA 无法调用LsarQueryInformationPolicy（这又是 RPC 调用！）以获取插入证书所需的名称。

结论

可能希望在模板中关闭域 FQDN 和域 NetBIOS 名称Kerberos Authentication，但我不建议这样做。也不要尝试将KDC AuthenticationEKU 添加到Domain Controller Authentication，因为前者严格依赖于域 FQDN 和 NetBIOS 的存在，这会在您的环境中导致问题。

Answer

根据文档，您所遇到的行为是预期行为，设计如此，无法关闭。Kerberos Authentication需要从 CA 到 DC 的 RPC 连接。您有哪些选择：

启用 CA 和域控制器之间的 RPC 通信。
使用Domain Contoller Authentication证书模板而不是Kerberos Authentication模板。Domain Contoller Authentication模板不需要 RPC 连接回 DC。

事实上，我记不住所有的细节，但值得称赞的是，你做了很好的调查，并指出了失败的 RPC 回调，这确实减少了可能的原因。有关发生这种情况的详细信息如下。

总结

第1部分

首先，关于证书模板：Domain Controller Authentication和Kerberos Authentication模板都用于提供对 LDAP 的支持年代（LDAP over TLS）以及证书/智能卡登录期间的相互身份验证。

两者之间的区别在于主题的构造方式，或者其中包含的内容。Domain Controller Authentication仅在 SAN 扩展中包含域控制器的 FQDN。Kerberos Authentication添加两个名称：FDQN 和域的 NetBIOS 名称。此外，Kerberos Authentication还添加了KDC AuthenticationEKU。默认模板配置在[MS-CRTD]，附录 A更明确地说：

Domain Controller Authentication主题名称具有 134217728（0x8000000）标志组合，其转换为仅标志：CT_FLAG_SUBJECT_ALT_REQUIRE_DNS
Kerberos Authentication主体名称具有 138412032 (0x8400000) 个标志组合，其转换为两个标志：CT_FLAG_SUBJECT_ALT_REQUIRE_DNS和CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS。

主题名称标志存储在msPKI-Certificate-Name-Flag属性中（[MS-CRTD] §2.28）。

您的问题是由于 SAN 中要求包含域 FQDN 和 NetBIOS 名称而导致的。Kerberos Authentication模板是唯一使用CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS标志的默认模板。

第2部分

Windows CA 使用[MS-WCCE]协议规范来处理请求和颁发证书。此协议完全指定了客户端行为以及 Windows CA 的一小部分交互和行为。[MS-WCCE] §3.2.2.1.3为作为域控制器的客户端定义一种特殊行为，并通过在其名称前面添加“\\”来准备用于 RPC 连接的名称。

第 3 部分

Windows CACT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS按照指定的方式处理[MS-WCCE] §3.2.2.6.2.1.4.5.9。

如果CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS设置了该标志，则 CA 应该：

CA 应该使用 LsarOpenPolicy 方法检索信息策略的句柄（[MS-LSAD] 第 3.1.4.4.2 节)，将SystemName参数设置为dNSHostName来自请求者的计算机对象的属性，将的所有字段ObjectAttributes设置为NULL，将DesiredAccess参数设置为POLICY_VIEW_LOCAL_INFORMATION。

CA 应使用以下LsarQueryInformationPolicy方法获取请求者的计算机 DNS 域信息（[MS-LSAD] 第 3.1.4.4.4 节)，其中PolicyHandle参数设置为上一步获取的值，InformationClass 参数设置为PolicyDnsDomainInformation。

CA 必须将上一步返回的 DNS 域信息中的Name和字段的值添加到颁发证书的主题备用名称扩展中。DNSDomainName

如您所见，LsarOpenPolicy调用确实是 RPC 调用，并在成功时返回 RPC 连接的句柄。在您的例子中，此调用失败，CA 无法调用LsarQueryInformationPolicy（这又是 RPC 调用！）以获取插入证书所需的名称。

结论

可能希望在模板中关闭域 FQDN 和域 NetBIOS 名称Kerberos Authentication，但我不建议这样做。也不要尝试将KDC AuthenticationEKU 添加到Domain Controller Authentication，因为前者严格依赖于域 FQDN 和 NetBIOS 的存在，这会在您的环境中导致问题。

Question 2

为了绕过 RPC 调用回到您的 DC，您可以复制 Kerberos 模板并手动添加 SAN。然后启用自动续订。

步骤如下 -

配置模板：

复制 Kerberos 模板
将新模板主题名称配置为“请求中的供应”
授予你的 DC 对新模板的读取和注册权限
如果需要，你可以取代旧模板
发布模板

在您的 WES 上：

iisreset 刷新模板列表

注册证书：

在您的独立 DC 上注册证书并在 SAN 扩展中添加域名（这不会使 RPC 从 CA 回调到 DC）。

（如果您看不到模板，请清除 C:\ProgramData\Microsoft\Windows\X509Enrollment 中的本地 WES 缓存）

启用自动续订（通过 GPO）：

Windows 设置 > 安全设置 > 公钥策略 > 证书服务客户端 - 自动注册。只需标记“续订过期证书、更新待处理证书和删除已撤销证书”即可

测试自动续订：

在新模板上 - 右键单击并选择“重新注册所有证书持有者”。这将增加模板的主要版本，并在下一个自动注册周期（8 小时一次）强制更新证书。

如果您不想等待 - 请重置 WES，删除本地 x509enrollment 文件夹并运行“certutil -pulse”

祝你好运

Answer

为了绕过 RPC 调用回到您的 DC，您可以复制 Kerberos 模板并手动添加 SAN。然后启用自动续订。

步骤如下 -

配置模板：

复制 Kerberos 模板
将新模板主题名称配置为“请求中的供应”
授予你的 DC 对新模板的读取和注册权限
如果需要，你可以取代旧模板
发布模板

在您的 WES 上：

iisreset 刷新模板列表

注册证书：

在您的独立 DC 上注册证书并在 SAN 扩展中添加域名（这不会使 RPC 从 CA 回调到 DC）。

（如果您看不到模板，请清除 C:\ProgramData\Microsoft\Windows\X509Enrollment 中的本地 WES 缓存）

启用自动续订（通过 GPO）：

Windows 设置 > 安全设置 > 公钥策略 > 证书服务客户端 - 自动注册。只需标记“续订过期证书、更新待处理证书和删除已撤销证书”即可

测试自动续订：

在新模板上 - 右键单击并选择“重新注册所有证书持有者”。这将增加模板的主要版本，并在下一个自动注册周期（8 小时一次）强制更新证书。

如果您不想等待 - 请重置 WES，删除本地 x509enrollment 文件夹并运行“certutil -pulse”

祝你好运

总结

编辑

答案1

总结

第1部分

第2部分

第 3 部分

结论

答案2

相关内容