Estoy usando certificados de cliente X.509 para autenticar un conjunto bien definido de clientes de Windows mediante TLS mutuo. Existe una plantilla de certificado que emite este tipo de certificado a todos los clientes de este conjunto, pero no a otros.
En el lado del servidor, puedo ejecutar código que evalúa el certificado X.509 para ver si fue emitido por esta plantilla.
Sin embargo, el nombre de la plantilla o el ID no forman parte de los datos X.509.
¿Existe alguna otra forma de incluir información única en el certificado mediante la plantilla? P.ej
- modificar el asunto (por ejemplo, para incluir algún atributo AD genérico o un valor fijo)
- agregar o modificar otra propiedad del certificado x.590
Parece que puedo lograr esto usando
- emitir el certificado desde una CA intermedia específica (fácil de verificar en el servidor a través de una lista raíz confiable)
- usando una extensión de uso de clave personalizada (necesitaría un código específico en el lado del servidor)
Sin embargo, ambos métodos serían bastante difíciles de implementar.
(Este es un seguimiento dePlantillas de certificados de Windows: cómo incluir reclamaciones de grupo (u OU) en certificados de cliente SSL/TLSdonde probablemente estaba haciendo la pregunta equivocada)
Respuesta1
Sin embargo, el nombre de la plantilla o el ID no forman parte de los datos X.509.
Resulta que eso está mal, simplemente me lo perdí.
El ID y la versión de la plantilla están codificados en OID.1.3.6.1.4.1.311.21.7Según lo definido porMS-WCEE 2.2.2.7.7.2 szOID_CERTIFICATE_TEMPLATE