Tengo un bosque AD y un servidor CA. En la plantilla de certificado tengo marcada la casilla "Publicar certificado en Active Directory".
También en la plantilla, la opción Nombre del sujeto está configurada en "Suministro en la solicitud". Los certificados para todos los usuarios los solicita una cuenta de servicio que tenga el certificado de Agente de inscripción.
Los atributos CN y SAN en las solicitudes de certificado coinciden con los del objeto de usuario en AD DS.
Sin embargo, una vez que la CA emite el certificado, se publica en la cuenta de servicio (el solicitante) en lugar de en la cuenta de usuario real.
Consulte el último comentario (fechado el 17 de mayo de 2018) en este hilo:https://social.technet.microsoft.com/Forums/en-US/7c336ce5-9f7c-4713-9e27-8a59273b3182/how-does-the-ca-perform-this-publish-certificate-in-active-directoryquot? foro=winserversecurity. Estoy enfrentando un problema similar.
Sin embargo, la respuesta aceptada en la publicación anterior indica que el certificado debería haberse publicado en la cuenta de usuario y no en la cuenta de servicio. Pero el comportamiento real observado es diferente.
¿Alguien podría indicarme cómo solucionar este problema? Gracias.
Respuesta1
Si simplemente no funciona como usted desea, puede hacer que el EA publique el certificado en la cuenta de usuario en AD como parte de su proceso. ("Solo" escribe el guión).
Es un poco menos común ver usos del atributo userCertificate en estos días (es decir, Publicar en Active Directory); Es más común ver el uso del propio certificado como elemento de validación. (es decir, el certificado dice CN=Bazza; fue emitido por un emisor confiable; por lo tanto, el usuario es Bazza independientemente de su presencia en la cuenta de usuario de AD).