私は certreq コマンド ユーティリティ ( certreq -new) を使用して .inf ファイルから csr を生成し、 を使用して中間 CA に送信して署名してもらいましたcertreq -submit。
何らかの理由で、[全般] タブの [発行先] フィールドと [詳細] タブの [件名] フィールドに、マシンの FQDN (.inf の件名行で指定) ではなく、ドメイン ユーザー名が表示されます。
私は、マシン上の自己署名 RDP 証明書を、当社の CA によって署名された証明書に置き換えるためにこれを行っています。これは、GPO を使用して RDP テンプレートを作成することで実行できることは理解していますが、テスト目的で、まずこのサーバーでこれらのコマンドを使用して機能することを確認する必要があります。
サーバー OS は Windows Server 2016 Standard です。管理者特権の PowerShell コンソールからコマンドを実行しています。
以下は、私が参照している .inf ファイルと、使用しているコマンドです。これに関するご意見をいただければ幸いです。
リクエスト.inf:
[Version] Signature="$Windows NT$"
[NewRequest]
Subject = "C=US, ST=Florida, L=Orlando, O=Disney World, CN=RDPSSL-TEST.Disney.com"
KeySpec = 1
KeyLength = 2048
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = "CERT_DIGITAL_SIGNATURE_KEY_USAGE | CERT_KEY_ENCIPHERMENT_KEY_USAGE"
HashAlgorithm = SHA256
[EnhancedKeyUsageExtension]
OID=1.3.6.1.4.1.311.54.1.2 ; this is for Remote Desktop Authentication
[RequestAttributes]
CertificateTemplate= DisneyRemoteDesktop
コマンド:
certreq -new request.inf cert.req
certreq -submit cert.req certnew.cer certnew.pfx
答え1
これは、テンプレートが Active Directory からサブジェクトを作成するように構成されているためです。CA に手動でリクエストを送信しているため、CSR の送信中に CA で認証され、CA はユーザー アカウントからサブジェクト情報を検索します。証明書テンプレートのプロパティでサブジェクト ソースを変更する必要があります。運用時には、サブジェクト ソースを AD ソースに戻す必要があります。