Ich verwende X.509-Clientzertifikate, um eine genau definierte Gruppe von Windows-Clients über gegenseitiges TLS zu authentifizieren. Es gibt eine Zertifikatsvorlage, die diesen Zertifikatstyp an alle Clients in dieser Gruppe ausstellt, an andere jedoch nicht.
Auf der Serverseite kann ich Code ausführen, der das X.509-Zertifikat auswertet, um festzustellen, ob es von dieser Vorlage ausgestellt wurde.
Der Vorlagenname oder die ID sind jedoch nicht Teil der X.509-Daten.
Gibt es eine andere Möglichkeit, über die Vorlage eindeutige Informationen in das Zertifikat einzufügen? Beispiel:
- Ändern Sie den Betreff (z. B. um ein allgemeines AD-Attribut oder einen festen Wert einzuschließen).
- Hinzufügen oder Ändern einer weiteren x.590-Zertifikatseigenschaft
Es scheint, dass ich dies erreichen kann, indem ich
- Ausstellung des Zertifikats durch eine bestimmte Zwischenzertifizierungsstelle (einfache Überprüfung auf dem Server über die Liste vertrauenswürdiger Stammzertifizierungsstellen)
- durch Verwendung einer benutzerdefinierten Schlüsselverwendungserweiterung (hierfür wäre spezifischer Code auf der Serverseite erforderlich)
Allerdings wären beide Methoden ziemlich schwierig umzusetzen.
(Dies ist eine Fortsetzung vonWindows-Zertifikatvorlagen: So schließen Sie Gruppen- (oder OU-)Ansprüche in SSL/TLS-Clientzertifikate einwo ich wahrscheinlich die falsche Frage gestellt habe)
Antwort1
Der Vorlagenname oder die ID sind jedoch nicht Teil der X.509-Daten.
Es stellte sich heraus, dass das falsch ist, ich habe es einfach übersehen.
Die Vorlagen-ID und -Version sind in OID kodiert1.3.6.1.4.1.311.21.7wie definiert durchMS-WCEE 2.2.2.7.7.2 szOID_CERTIFICATE_TEMPLATE