![Microsoft 证书颁发机构机器模板 - 将单标签主机名添加到 SAN](https://linux22.com/image/790514/Microsoft%20%E8%AF%81%E4%B9%A6%E9%A2%81%E5%8F%91%E6%9C%BA%E6%9E%84%E6%9C%BA%E5%99%A8%E6%A8%A1%E6%9D%BF%20-%20%E5%B0%86%E5%8D%95%E6%A0%87%E7%AD%BE%E4%B8%BB%E6%9C%BA%E5%90%8D%E6%B7%BB%E5%8A%A0%E5%88%B0%20SAN.png)
我想在 Microsoft 证书颁发机构上创建一个机器证书模板,其中包括 SAN 中的单个标签 Active Directory (AD) 计算机名称。
我有数万台服务器,所以我不希望这个请求在客户端,因为我将通过 GPO 推送模板。我没有看到要添加的选项,但不知道为什么,因为 FQDN 和主机名都是 AD 中的字段。
我看到了 11 年前的一个重复问题,希望微软至少在十年后已经整合了这一功能!感谢您的时间。
答案1
内置计算机/机器模板将主机的 FQDN 添加到 SAN 扩展中,因此不会出现任何问题。
说到 NetBIOS 名称,不建议在身份验证协议中使用它们,因为它们会导致歧义。有两种主要的服务器证书用例:简单的 TLS 身份验证和 AD 客户端身份验证。对于来自 AD 的主体群体,ADCS 针对第二种用例,这需要客户端证书和 AD 中的帐户之间进行强映射。
NetBIOS 名称仅在单个域内是唯一的。在多域林或具有信任的林中,它们可能导致歧义和潜在的身份欺骗。这就是为什么 AD CS 本机仅支持 SAN 扩展中的主机的 FQDN,因为它唯一地标识客户端。
如果你可以接受身份欺骗和特权升级风险,你可以通过实施以下方式为 AD CS 编写自己的策略模块:证书政策(以及可选的,ICertPolicy2) COM 接口并将其注册到 CA 服务器上。