我有一个 AD 林和一个 CA 服务器。在证书模板中,我选中了“在 Active Directory 中发布证书”复选框。
此外,在模板中,主题名称选项设置为“在请求中提供”。所有用户的证书均由持有注册代理证书的服务帐户请求。
证书请求中的 CN 和 SAN 属性与 AD DS 中的用户对象的属性匹配。
然而,一旦 CA 颁发了证书,它就会发布到服务帐户(请求者)而不是实际用户帐户。
请参阅此主题中的最后一条评论(日期为 2018 年 5 月 17 日)-https://social.technet.microsoft.com/Forums/en-US/7c336ce5-9f7c-4713-9e27-8a59273b3182/how-does-the-ca-perform-this-quotpublish-certificate-in-active-directoryquot?forum=winserversecurity。我也面临类似的问题。
但是,上述帖子中接受的答案指出证书应该发布到用户帐户而不是服务帐户。但实际观察到的行为有所不同。
有人能指导如何解决这个问题吗?谢谢。
答案1
如果它不能按照您希望的方式工作,您可以让 EA 将证书发布到 AD 中的用户帐户作为其流程的一部分。(“只需”编写脚本)。
现在,使用 userCertificate 属性的情况不太常见(例如,发布到 Active Directory);更常见的是使用证书本身作为验证项。(例如,证书显示 CN=Bazza;由受信任的发行者颁发;因此,无论是否在 AD 用户帐户上,用户都是 Bazza)。