Windows 企业 CA。
我被要求在证书中出现以下属性:OU,C(国家)和O(组织)。
我看到在证书模板中的“主题名称”选项卡中有“在请求中提供”选项,当您请求证书时您可以手动输入这些字段。
但是,如果选中“从此 Active Directory 信息构建”选项,我不知道如何让这些属性出现在证书中。
我怎样才能使这些属性与“从此 Active Directory 信息构建”选项一起出现?
答案1
基本上,你不能。
当 ADCS 从 AD 构建主题时,它使用订阅者的通用名称、组织单位和域组件结构来创建主题。
您可以选择使用哪种格式,例如DNS 名称, 或者完全可分辨名称,但您无法将后者配置为任何粒度级别。
如果您仔细想想,AD 中唯一保证存在的订阅者信息是通用名称和域组件,如果主题已放置在 AD 中的 OU 内,则组织单位可用。国家/地区和组织不保证在 AD 中可用(默认情况下均为 <未设置>)。
如果您想使用 OU=,O=,C= 格式,那么您唯一的选择就是避免从 AD 构建主题,而是在请求中提供它。当然,这会让您为如何验证订阅者的身份而头疼,而从 AD 构建可以帮您解决这个问题。