如果我向我的 Active Directory 证书服务(通过 certsrv Web 界面在线提交)两次提交相同的 CSR 文件,我会获得两个不同的证书(根据序列号判断)。
有没有办法将 ADCS 配置为一次只允许特定主题使用单个证书?换句话说,如果 AD 已经有一个foo.example.com尚未过期或撤销的证书,并且有人为提交了另一个 CSR foo.example.com,我希望 ADCS 返回现有证书或拒绝生成新证书。
证书模板上有一个名为的选项,[] Do not automatically reenroll if a duplicate certificate exists in Active Directory我以为可以做到这一点,但显然不行。
答案1
有没有办法将 ADCS 配置为一次只允许特定主题使用单个证书?
不,CA 方面没有办法做到这一点,这不是 CA 的责任。如果请求通过所有验证检查,则会颁发证书。
如果 Active Directory 中存在重复证书,则不自动重新注册
此设置仅由证书自动注册组件使用,并且仅用于在 AD 中发布的用户加密证书。