我很好奇是否可以限制哪些主题备用名称可用于 ADCS 的证书签名请求。例如,我想防止颁发通配符证书。我确实查看了 ADCS 证书模板,但我没有看到任何会影响此行为的设置。
我理解防止这种情况的一种方法是 CA 经理批准和审查请求,但是在没有此类批准的环境中,最好支持“黑名单”或 CSR 必须遵守的规则/政策,如果有签署证书的请求*.example.com进入并简单地丢弃该请求。
答案1
这是个好问题!我以前也用过这种方法来满足类似的要求。它可能满足您的需求。
https://winintro.ru/certtmpl.en/html/0acbd7fe-62b1-4aba-9cef-351e56075434.htm