Eu tenho uma floresta AD e um servidor CA. No modelo de certificado, marquei a caixa de seleção "Publicar certificado no Active Directory".
Ainda no template, a opção Nome do Assunto está definida como “Fornecimento na solicitação”. Os certificados para todos os usuários são solicitados por uma conta de serviço que contém o certificado do Agente de Inscrição.
Os atributos CN e SAN nas solicitações de certificado correspondem aos do objeto de usuário no AD DS.
No entanto, depois que o certificado é emitido pela CA, ele é publicado na conta de serviço (o solicitante) em vez da conta de usuário real.
Consulte o último comentário (datado de 17 de maio de 2018) neste tópico -https://social.technet.microsoft.com/Forums/en-US/7c336ce5-9f7c-4713-9e27-8a59273b3182/how-does-the-ca-perform-this-quotpublish-certificate-in-active-directoryquot? forum=winserversecurity. Estou enfrentando um problema semelhante.
No entanto, a resposta aceita na postagem acima afirma que o certificado deveria ter sido publicado na conta do usuário e não na conta de serviço. Mas o comportamento real observado é diferente.
Alguém poderia orientar como consertar isso? Obrigado.
Responder1
Se simplesmente não estiver funcionando da maneira desejada, você poderá fazer com que o EA publique o certificado na conta do usuário no AD como parte do processo. ("Apenas" faça o script).
É um pouco menos comum ver usos do atributo userCertificate atualmente (ou seja, publicar no Active Directory); é mais comum ver o uso do próprio certificado como item de validação. (ou seja, o certificado diz CN = Bazza; foi emitido por um emissor confiável; portanto, o usuário é Bazza, independentemente da presença na conta de usuário do AD).