我正在尝试按照这篇文章让 CBA 发挥作用:
我创建了一个自签名 CA 用于测试目的,并颁发了由该 CA 签名的客户端证书。该 CA 已上传到 Entra Id,CBA 已启用,并且颁发证书的用户位于已启用的测试组中。证书和 CA 安装在客户端计算机证书存储中。
当我导航到https://myapps.microsoft.com并输入用户电子邮件,我可以选择使用证书登录。但是,当我单击该选项(没有证书选择框,因为我只有一个证书)时,我收到错误消息证书验证失败。
检查用户的登录日志,我可以看到尝试的基于证书的登录被标记为失败,错误代码为 50192。我能找到的所有资源都简单地说这意味着“无效请求”。(呃)
我不知道哪里出了问题。证书的通用名称和电子邮件地址字段均设置为 UPN,X509v3 主题备用名称设置为
otherName:1.3.6.1.4.1.311.20.2.3;UTF8:<the UPN>
证书扩展密钥用法为“TLS Web 客户端身份验证、Microsoft Smartcard 登录、EAP over PPP、EAP over Lan”,X509v3 密钥用法为“密钥加密”。
在 Entra Id 的身份验证绑定下,我已激活证书颁发者绑定(并选择了自签名 CA,这是我拥有的唯一 CA)。我尝试将其关闭,但没有任何改变)。
在用户名绑定证书字段中,PrincipalName 和 RFC822Name 已将绑定设置为 userPrincipalName,Subject 设置为 CertificationUserIds。我尝试选择性地关闭它们,但无济于事。
我还尝试将 X509:(UPN) 和 X509:(UPN) 添加到用户授权信息属性中,但仍然没有成功。
非常感谢您的帮助。