Ich habe eine AD-Gesamtstruktur und einen CA-Server. In der Zertifikatsvorlage habe ich das Kontrollkästchen „Zertifikat in Active Directory veröffentlichen“ aktiviert.
Außerdem ist in der Vorlage die Option „Betreffname“ auf „In der Anforderung angeben“ eingestellt. Die Zertifikate für alle Benutzer werden von einem Dienstkonto angefordert, das über ein Registrierungsagent-Zertifikat verfügt.
Die CN- und SAN-Attribute in den Zertifikatsanforderungen stimmen mit denen des Benutzerobjekts in AD DS überein.
Sobald das Zertifikat jedoch von der Zertifizierungsstelle ausgestellt wurde, wird es auf dem Dienstkonto (dem Anforderer) und nicht auf dem tatsächlichen Benutzerkonto veröffentlicht.
Siehe den letzten Kommentar (vom 17. Mai 2018) in diesem Thread -https://social.technet.microsoft.com/Forums/en-US/7c336ce5-9f7c-4713-9e27-8a59273b3182/wie-führt-die-CA-diese-Veröffentlichung-des-Zertifikats-im-Active-Directory-durch?forum=winserversecurity. Ich stehe vor einem ähnlichen Problem.
In der akzeptierten Antwort im obigen Beitrag heißt es jedoch, dass das Zertifikat für das Benutzerkonto und nicht für das Dienstkonto veröffentlicht werden sollte. Das tatsächlich beobachtete Verhalten ist jedoch anders.
Kann mir bitte jemand erklären, wie ich das beheben kann? Danke.
Antwort1
Wenn es einfach nicht so funktioniert, wie Sie es möchten, können Sie den EA veranlassen, das Zertifikat als Teil seines Prozesses für das Benutzerkonto in AD zu veröffentlichen. („Erstellen Sie einfach ein Skript dafür“).
Heutzutage wird das Attribut „userCertificate“ seltener verwendet (z. B. zum Veröffentlichen in Active Directory). Üblicher ist die Verwendung des Zertifikats selbst als Validierungselement. (Das Zertifikat lautet z. B. CN=Bazza; wurde von einem vertrauenswürdigen Aussteller ausgestellt; daher ist der Benutzer Bazza, unabhängig von der Anwesenheit im AD-Benutzerkonto.)