![我们如何才能停止在 ADCS 中对同一证书的重复请求?](https://linux22.com/image/786584/%E6%88%91%E4%BB%AC%E5%A6%82%E4%BD%95%E6%89%8D%E8%83%BD%E5%81%9C%E6%AD%A2%E5%9C%A8%20ADCS%20%E4%B8%AD%E5%AF%B9%E5%90%8C%E4%B8%80%E8%AF%81%E4%B9%A6%E7%9A%84%E9%87%8D%E5%A4%8D%E8%AF%B7%E6%B1%82%EF%BC%9F.png)
如果我向我的 Active Directory 证书服务(通过 certsrv Web 界面在线提交)两次提交相同的 CSR 文件,我会获得两个不同的证书(根据序列号判断)。
有没有办法将 ADCS 配置为一次只允许特定主题使用单个证书?换句话说,如果 AD 已经有一个foo.example.com
尚未过期或撤销的证书,并且有人为提交了另一个 CSR foo.example.com
,我希望 ADCS 返回现有证书或拒绝生成新证书。
证书模板上有一个名为的选项,[] Do not automatically reenroll if a duplicate certificate exists in Active Directory
我以为可以做到这一点,但显然不行。
答案1
有没有办法将 ADCS 配置为一次只允许特定主题使用单个证书?
不,CA 方面没有办法做到这一点,这不是 CA 的责任。如果请求通过所有验证检查,则会颁发证书。
如果 Active Directory 中存在重复证书,则不自动重新注册
此设置仅由证书自动注册组件使用,并且仅用于在 AD 中发布的用户加密证书。