ad-certificate-services

客户端浏览器中的客户端证书,使用 unix 服务器进行管理
ad-certificate-services

客户端浏览器中的客户端证书,使用 unix 服务器进行管理

目前,我们运行 Unix 专用服务器来处理除 Microsoft Active Directory 证书服务之外的所有事务(Web 集群、数据库、FTP、批处理等)。此 Windows 框的唯一目的是为我们的客户浏览器提供客户端证书。我们要求所有客户安装客户端证书,以便他们能够访问我们的网站。Unix 领域有替代方案吗?目的是确保只有经批准的客户的经批准硬件才能访问我们的网站。我愿意接受任何能为我提供这种安全级别的解决方案。然而,我们谈论的是数千台经过认证的计算机,因此您可以在提议的解决方案中考虑到这一点。我们还希望能够撤销访问权限(可选)。 ...

Admin

主体名称 (SN)/主体备用名称 (SAN) 在 Microsoft 公钥基础设施 (PKI) 中起什么作用?
ad-certificate-services

主体名称 (SN)/主体备用名称 (SAN) 在 Microsoft 公钥基础设施 (PKI) 中起什么作用?

什么是主题名称/主题备用名称以及它们彼此有何不同? 特别是“主题名称”选项卡下方的模板。除了在注册证书时需要将信息放入主题选项卡中的额外步骤之外,这对普通证书申请有何影响? 主题名称 (SN)/主题备用名称 (SAN) 在 Microsoft 公钥基础结构 (PKI) 中的作用是什么?SAN 如何使用?哪些场景可从将其纳入证书中受益? ...

Admin

如果只有一个有效证书,那么丢弃证书颁发机构可以吗?
ad-certificate-services

如果只有一个有效证书,那么丢弃证书颁发机构可以吗?

我在小型网络(大约 30 台客户端 PC)上继承了 Windows Server 2019 域控制器,其中安装了 AD CS。我想为 AD CS 设置专用服务器,因为在 DC 上安装 AD CS 是不好的做法,我计划使用证书对用户/计算机进行 Radius 身份验证。 我已经研究了将 CA 转移到另一台计算机的过程,但是由于所有证书模板都未配置,并且根证书的密钥长度只有 2048 位,所以我宁愿从头开始。 目前唯一仍然有效的证书是域控制器证书。DC 与 Entra 同步,我认为这需要域控制器证书。 问题: 在这种情况下,删除完整的 ca 可以接受吗? DC...

Admin

在 CAPolicy 中为 AIA 和 CDP 指定动态文件名?
ad-certificate-services

在 CAPolicy 中为 AIA 和 CDP 指定动态文件名?

[AuthorityInformationAccess]在您定义和的“CAPolicy.inf”文件中[CRLDistributionPoint],这些部分可以使用动态值吗?例如: [CRLDistirubtionPoint] URL="http://pki.mycompany.tld/%3%8%9.crl" 或者 [CRLDistirubtionPoint] URL="http://pki.mycompany.tld/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl" 我搜索了...

Admin

如何创建 Authenticode 签名基础设施?
ad-certificate-services

如何创建 Authenticode 签名基础设施?

我正在尝试创建必要的基础架构,以允许授权用户签署 PowerShell 脚本并让组织信任它们,这允许使用 AllSigned 执行策略将脚本部署到计算机。这是我设想的过程: Windows 证书颁发机构服务服务器创建 RootCA(RootCA.cer)。 该服务器内有一个代码签名证书的证书模板。 RootCA 通过组策略部署到所有计算机,并放入受信任的发布者存储中。 用户使用模板(CodeSigningCert.cer)请求代码签名证书,该证书由 RootCA 签名和验证。 此时,代码签名证书(CodeSigningCert.cer)是 RootCA(...

Admin

从属 CA 是否应出现在受信任的根 CA 下?
ad-certificate-services

从属 CA 是否应出现在受信任的根 CA 下?

最近我需要为 VDI 解决方案设置 PKI,因为需要智能卡功能来处理 Azure 的 SSO。我按照 MS 说明和其他指南配置了一个离线根 CA 和一个加入域的下属 CA。在与供应商的支持人员合作解决智能卡的一些问题时,供应商使用 dspublish 命令手动填充了我的离线根 CA 和下属 CA 的 RootCA 值(长话短说,我不知道该策略配置是为了停止自动注册,所以我的 CA 不会传播,很久以后才发现并纠正了这个问题)。他们可能已经将 dspublish 运行到 RootCA 以外的其他地方,但我记不清了。 目前,一切正常,但我看到的机器和服务器上的证书...

Admin

从同一 CA 为父域颁发证书后,再为子域颁发证书
ad-certificate-services

从同一 CA 为父域颁发证书后,再为子域颁发证书

我正在尝试从我们的父域为我们的子域颁发证书,作为我注册能力的一部分,用于 2FA 设备。几个月前我可以这样做,但现在它不允许我执行子域凭据问题。 流程如下。我为父域中的用户创建了一个 2FA 设备,并在证书控制台中执行“代表注册”,因为我有注册权限。 我选择 Active Directory 策略 我选择有效的招生代理证书。 我选择我们的 2FA 模板来发布它。 我选择父域用户名并毫无问题地颁发该证书。 然后我对子域帐户执行相同的操作。 我选择 Active Directory 策略 我选择有效的招生代理证书。 我选择我们的 2FA 模板来发布它。...

Admin

设置颁发要求时 Windows 证书颁发机构自动注册
ad-certificate-services

设置颁发要求时 Windows 证书颁发机构自动注册

我有域计算机 CA 模板,可以自动注册到机器,没有任何问题 我激活了发行要求 我可以自动更新现有证书,但无法自动/多次创建新证书,系统要求我提供恢复代理证书 我已将注册证书注册到当前用户/计算机帐户,但向导仍然显示缺少该证书 对于计算机模板,在发行要求下我选择如下 显示了我的注册代理证书,我可以手动安装新证书,但无法续订 Active Directory Certificate Services denied request 834 because One or more signatures did not include the required...

Admin

提取 AD 对象以供审查
ad-certificate-services

提取 AD 对象以供审查

我正在寻求熟悉 ADCS 的任何人给予澄清。 在查看 AD 对象详细信息时,我试图了解为什么我在证书的应用程序策略部分看到 3DES。 具体来说,这个属性:> sPKI 对称算法PZPWSTR3DES` 产品步骤: Windows 2022 Server、ADCS 服务 模板从 Web 服务器默认模板复制 提取 AD 对象以供审查 ldifde -m -v -d “CN=customwebserver,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configurati...

Admin

Windows CA 在 CRL 中发布过期证书(未配置)
ad-certificate-services

Windows CA 在 CRL 中发布过期证书(未配置)

我有一个 Windows ADDS CA,出于某种原因,它在 CRL 中发布了已撤销但已过期的证书,我无论如何也想不出原因。这是我的配置: 服务器 2012 R2 独立 CA 它是具有自签名证书的根 CA(即,它是信任层次结构的顶部) CRLF_PUBLISH_EXPIRED_CERT_CRLS 未设置 EKUOIDsForPublishExpiredCertInCRL 键仅包含默认 OID(我相信是软件签名和内核签名)。此处讨论的证书是 IPSec 证书。 我们不发布增量 CRL - 只发布完整 CRL CRL 有效期为 35 天,其中重叠期为 7 天 ...

Admin

Microsoft 证书颁发机构机器模板 - 将单标签主机名添加到 SAN
ad-certificate-services

Microsoft 证书颁发机构机器模板 - 将单标签主机名添加到 SAN

我想在 Microsoft 证书颁发机构上创建一个机器证书模板,其中包括 SAN 中的单个标签 Active Directory (AD) 计算机名称。 我有数万台服务器,所以我不希望这个请求在客户端,因为我将通过 GPO 推送模板。我没有看到要添加的选项,但不知道为什么,因为 FQDN 和主机名都是 AD 中的字段。 我看到了 11 年前的一个重复问题,希望微软至少在十年后已经整合了这一功能!感谢您的时间。 ...

Admin

在 Active Directory 域上实施 PKI
ad-certificate-services

在 Active Directory 域上实施 PKI

我想在相对较小的 Windows 环境中实现两层 PKI:大约 35 个用户和 5 个虚拟服务器。虽然我对 Linux 没有什么经验,但我正在尝试使用西卡在基于 Linux 的虚拟机上作为离线根证书颁发机构,因为我不确定是否有必要为大部分时间处于关闭状态的计算机支付 Windows Server 许可费用。 我找到了两组我想要实现的配置的说明。 https://4sysops.com/archives/use-openssl-based-software-xca-as-offline-root-certificate-authority-for-ad-ce...

Admin

批准待处理的请求后导出 pfx 证书
ad-certificate-services

批准待处理的请求后导出 pfx 证书

在 Active Directory 证书颁发机构中我有CA 证书管理员批准。 CA图片 当我批准请求时,我无法将颁发的证书导出为 pfx 格式。我该如何导出它们? 没有CA 证书管理员批准我可以使用证书(本地计算机)mmc 管理单元来执行此操作。 ...

Admin

CA:VPN 的证书用户
ad-certificate-services

CA:VPN 的证书用户

我想从下属企业 CA 生成一个用户证书,用作 VPN 连接的身份验证方法。我想使用 GPO 在域用户上安装此证书并自动注册。证书中有一个选项可以防止用户导出此证书的私钥。如果我使用此选项配置证书,是否更安全,不会产生影响? ...

Admin