Windows 証明書テンプレート: SSL/TLS クライアント証明書にグループ (または OU) クレームを含める方法

答えは「いいえ」です。グループ メンバーシップはむしろ動的なプロパティであり、静的ではなく、証明書所有者の ID の一部ではありません。結果として、この情報は ID に属していないため、証明書にグループ メンバーシップを含めることはできません。また、グループ メンバーシップが変更されるたびに、証明書を再発行する必要があります。証明書の有効期間はきわめて長いです。これは非常に欠陥のあるソリューションです。

つまり、そのようなコンピュータからHTTPSリクエストを開始するときに、どのユーザーもこの証明書を使用できるはずです。

これは、ローカル システムまたはネットワーク サービス アカウントで実行されるアプリケーションから TLS 要求が送信された場合にのみ機能します。このような証明書を使用する場合は、たとえばソース コードを介して、デフォルト以外のクライアント証明書を使用するように TLS クライアントを明示的に構成する必要があります。

サーバーはLinuxベースのコンテナであり、AD/ドメインの一部ではありません

興味深いですね。Linux ベースのサーバーは実際のグループ メンバーシップをどのように検証するのでしょうか?

相互 TLS のクライアント証明書は認証方法です。証明書のフィールドは、サーバーが接続する必要があるアカウント情報にマッピングされます。

Linux サーバーは AD の一部ではないため、クライアント証明書を AD ユーザー アカウントにバインドしてグループ メンバーシップを検証することはできません。サーバーは、そのようなグループが実際に存在するかどうかも判断できません。Linux サーバーで使用できる別の ID データベースが必要であり、Linux サーバーは何らかの方法でクライアント証明書をその別の ID データベースの ID にバインドする必要があります。また、この別の ID データベースで使用できる情報のみがクライアント認証に使用されます。

つまり、要件は次のとおりです。

コンピュータのグループ メンバーシップは AD で管理する必要があります。

そして

サーバーはLinuxベースのコンテナであり、AD/ドメインの一部ではありません

これらは相互に排他的であり、一緒に使用することはできません。Linux サーバーを AD 対応にするか、Linux サーバーで使用可能な ID に関する情報を証明書に含めます。また、証明書にグループ メンバーシップを含めることは絶対に避けてください。グループ メンバーシップは、長期間有効な証明書ではなく、短期間有効なトークンで使用する必要があります。