AD フォレストと 1 つの CA サーバーがあります。証明書テンプレートで、「Active Directory に証明書を公開する」チェックボックスをオンにしています。
また、テンプレートでは、サブジェクト名オプションが「要求で指定」に設定されています。すべてのユーザーの証明書は、登録エージェント証明書を保持するサービス アカウントによって要求されます。
証明書要求の CN 属性と SAN 属性は、AD DS 内のユーザー オブジェクトの属性と一致します。
ただし、CA によって証明書が発行されると、実際のユーザー アカウントではなく、サービス アカウント (要求元) に公開されます。
このスレッドの最後のコメント(2018年5月17日)を参照してください。https://social.technet.microsoft.com/Forums/en-US/7c336ce5-9f7c-4713-9e27-8a59273b3182/how-does-the-ca-perform-this-quotpublish-certificate-in-active-directoryquot?forum=winserversecurity私も同様の問題に直面しています。
ただし、上記の投稿の受け入れられた回答では、証明書はサービス アカウントではなくユーザー アカウントに公開される必要があると述べられています。しかし、実際に観察された動作は異なります。
誰かこれを修正する方法を教えてもらえますか? ありがとうございます。
答え1
期待どおりに動作しない場合は、EA のプロセスの一環として、AD のユーザー アカウントに証明書を公開してもらうことができます (「単に」スクリプト化してください)。
最近では、userCertificate 属性の使用 (Active Directory への公開など) はあまり一般的ではなく、証明書自体を検証項目として使用することが一般的です (つまり、証明書に CN=Bazza と表示され、信頼できる発行者によって発行されているため、AD ユーザー アカウントに存在するかどうかに関係なく、ユーザーは Bazza です)。