AD 포리스트와 CA 서버가 하나 있습니다. 인증서 템플릿에서 "Active Directory에 인증서 게시" 확인란을 선택했습니다.
또한 템플릿에서 주체 이름 옵션은 "요청에 제공"으로 설정됩니다. 모든 사용자에 대한 인증서는 등록 에이전트 인증서를 보유한 서비스 계정에서 요청합니다.
인증서 요청의 CN 및 SAN 특성은 AD DS에 있는 사용자 개체의 특성과 일치합니다.
그러나 CA에서 인증서가 발급되면 실제 사용자 계정이 아닌 서비스 계정(요청자)에 게시됩니다.
이 스레드의 마지막 댓글(2018년 5월 17일자)을 참조하세요.https://social.technet.microsoft.com/Forums/en-US/7c336ce5-9f7c-4713-9e27-8a59273b3182/how-does-the-ca-perform-this-quotpublish-certificate-in-active-directoryquot? 포럼=winserversecurity. 비슷한 문제에 직면하고 있습니다.
그러나 위 게시물의 허용된 답변에는 인증서가 서비스 계정이 아닌 사용자 계정에 게시되어야 한다고 명시되어 있습니다. 그러나 실제로 관찰된 동작은 다릅니다.
누군가 이 문제를 해결하는 방법을 안내해 주시겠습니까? 감사해요.
답변1
원하는 대로 작동하지 않는 경우 EA가 프로세스의 일부로 AD의 사용자 계정에 인증서를 게시하도록 할 수 있습니다. ("그냥" 스크립트를 작성하세요).
요즘에는 userCertificate 속성이 사용되는 경우(예: Active Directory에 게시)가 좀 덜 일반적입니다. 인증서 자체를 검증 항목으로 사용하는 것이 더 일반적입니다. (즉, 인증서에는 CN=Bazza가 표시되어 있으며 신뢰할 수 있는 발급자에 의해 발급되었습니다. Ergo 사용자는 AD 사용자 계정의 존재 여부에 관계없이 Bazza입니다.)