InAD-ZertifikatvorlagenDie Vorlagen haben eine Option zumAus AD-Informationen erstellenund umfasst E-Mail, DNS, UPN usw.
Beim Erstellen eines CSR mit Powershell, OpenSSL und dem Zertifikat-MMC-Snap-In weiß ich, dass es möglich ist, zusätzliche Attribute wie Staat, Stadt, Organisation, Organisationseinheit, Ort und andere hinzuzufügen. Ist es möglich,Lassen Sie diese Art von Informationen aus AD abrufenWenn die Server also aufautomatische RegistrierungSind derartige Zusatzinformationen im Zertifikat enthalten?
Ich weiß, dass zusätzliche Informationen zu AD-Benutzern/Objekten hinzugefügt werden können, indemAttribut-Editoraber ich bin nicht sicher, ob Sie angeben könnenZertifikatsvorlagen zum Abrufen dieser Informationen.
Danke!
Antwort1
Nicht mit integrierter Funktionalität. Sie müssen ein benutzerdefiniertes Richtlinienmodul schreiben, indem Sie implementierenICertPolicy2Schnittstelle und dann innenICertPolicy::VerifyRequestAnrufICertServerPolicy::SetCertificatePropertyum den Betreff zu ändern und benutzerdefinierte RDNs einzuschließen.
Antwort2
Ich habe ein Richtlinienmodul in C# geschrieben, Sie finden es hier:https://github.com/Sleepw4lker/TameMyCerts.
Die nächste Version wird definitiv die von dir beschriebene Funktion für Benutzerkonten enthalten. Vielleicht implementiere ich sie auch für Maschinenkonten.
Mit freundlichen Grüße