我想在 Microsoft 证书颁发机构上创建一个机器证书模板,其中包括 SAN 中的单个标签 Active Directory (AD) 计算机名称。
我有数万台服务器,所以我不希望这个请求在客户端,因为我将通过 GPO 推送模板。我没有看到要添加的选项,但不知道为什么,因为 FQDN 和主机名都是 AD 中的字段。
我看到了 11 年前的一个重复问题,希望微软至少在十年后已经整合了这一功能!感谢您的时间。
答案1
内置计算机/机器模板将主机的 FQDN 添加到 SAN 扩展中,因此不会出现任何问题。
说到 NetBIOS 名称,不建议在身份验证协议中使用它们,因为它们会导致歧义。有两种主要的服务器证书用例:简单的 TLS 身份验证和 AD 客户端身份验证。对于来自 AD 的主体群体,ADCS 针对第二种用例,这需要客户端证书和 AD 中的帐户之间进行强映射。
NetBIOS 名称仅在单个域内是唯一的。在多域林或具有信任的林中,它们可能导致歧义和潜在的身份欺骗。这就是为什么 AD CS 本机仅支持 SAN 扩展中的主机的 FQDN,因为它唯一地标识客户端。
如果你可以接受身份欺骗和特权升级风险,你可以通过实施以下方式为 AD CS 编写自己的策略模块:证书政策(以及可选的,ICertPolicy2) COM 接口并将其注册到 CA 服务器上。