Windows 証明書テンプレート: 特定のテンプレートの証明書を認識可能にする方法

X.509 クライアント証明書を使用して、相互 TLS を介して明確に定義された Windows クライアントのセットを認証しています。このセット内のすべてのクライアントにこのタイプの証明書を発行する証明書テンプレートは存在しますが、他のクライアントには発行しません。

サーバー側では、X.509 証明書を評価して、このテンプレートによって発行されたかどうかを確認するコードを実行できます。

ただし、テンプレート名または ID は X.509 データの一部ではありません。

テンプレートを使用して証明書に固有の情報を入力する他の方法はありますか?例:

• サブジェクトを変更する（例えば、一般的なAD属性や固定値を含める）
• 別の x.590 証明書プロパティを追加または変更する

これを実現できるようです

• 特定の中間 CA から証明書を発行する (信頼できるルート リストを介してサーバー上で簡単に検証可能)
• カスタムキー使用拡張機能を使用する（サーバー側に特定のコードが必要）

ただし、これらの方法はどちらも導入するのがかなり困難です。

（これはWindows 証明書テンプレート: SSL/TLS クライアント証明書にグループ (または OU) クレームを含める方法おそらく私は間違った質問をしていたのでしょう）