在AD 证书模板模板可以选择根据 AD 信息构建包括电子邮件、DNS、UPN等。
当使用 powershell、openssl 和证书 mmc 管理单元创建 CSR 时,我知道可以添加其他属性,如州、城市、组织、组织单位、地点等。是否可以从 AD 中提取此类信息因此当服务器设置为自动注册证书中包含此类附加信息吗?
我知道可以使用以下方式向 AD 用户/对象添加其他信息属性编辑器但我不确定你是否可以指定证书模板来提取这些信息。
谢谢!
答案1
不具备内置功能。您必须通过实现以下方法编写自定义策略模块:ICertPolicy2接口然后里面ICertPolicy::VerifyRequest称呼ICertServerPolicy::设置证书属性修改主题以包含自定义 RDN。
答案2
我用 C# 编写了一个策略模块,您可以在这里找到它:https://github.com/Sleepw4lker/TameMyCerts。
即将推出的版本肯定会包含您描述的用户帐户功能。也许我也会为机器帐户实现此功能。
亲切的问候