EnPlantillas de certificados ADlas plantillas tienen una opción paraconstruir a partir de información ADe incluye correo electrónico, DNS, UPN, etc.
Al crear una CSR usando powershell, openssl y el complemento mmc de certificado, sé que es posible agregar atributos adicionales como Estado, Ciudad, Organización, Unidad organizativa, Localidad y otros. Es posible quetener este tipo de información extraída de ADentonces, cuando los servidores están configurados parainscripción automática¿Este tipo de información adicional está incluida en el certificado?
Sé que se puede agregar información adicional a los usuarios/objetos de AD usandoEditor de atributospero no estoy seguro si puedes especificarplantillas de certificado para extraer esta información.
¡Gracias!
Respuesta1
No con funcionalidad incorporada. Tienes que escribir un módulo de política personalizado implementandoPolítica de certificación 2interfaz y luego dentroICertPolicy::VerificarSolicitudllamarICertServerPolicy::SetCertificatePropertypara modificar el asunto para incluir RDN personalizados.
Respuesta2
He escrito un módulo de política en C#, encuéntrelo aquí:https://github.com/Sleepw4lker/TameMyCerts.
La próxima versión definitivamente incluirá la función que describió para las cuentas de usuario. Quizás también lo implemente para cuentas de máquina.
Atentamente