Estou usando certificados de cliente X.509 para autenticar um conjunto bem definido de clientes Windows por meio de TLS mútuo. Existe um modelo de certificado que emite este tipo de certificado para todos os clientes deste conjunto, mas não para outros.
No lado do servidor, posso executar o código que avalia o certificado X.509 para ver se ele foi emitido por este modelo.
No entanto, o nome ou ID do modelo não faz parte dos dados X.509.
Existe alguma outra maneira de inserir informações exclusivas no certificado por meio do modelo? Por exemplo
- modificar o assunto (por exemplo, para incluir algum atributo genérico do AD ou um valor fixo)
- adicionar ou modificar outra propriedade do certificado x.590
Parece que posso conseguir isso usando
- emitir o certificado de uma CA intermediária específica (fácil de verificar no servidor por meio de lista de raiz confiável)
- usando uma extensão de uso de chave personalizada (seria necessário um código específico no lado do servidor)
No entanto, ambos os métodos seriam bastante difíceis de implementar.
(Este é um acompanhamento paraModelos de certificado do Windows: como incluir declarações de grupo (ou OU) em certificados de cliente SSL/TLSonde eu provavelmente estava fazendo a pergunta errada)
Responder1
No entanto, o nome ou ID do modelo não faz parte dos dados X.509.
Acontece que isso está errado, eu simplesmente perdi.
O ID e a versão do modelo são codificados em OID1.3.6.1.4.1.311.21.7conforme definido porMS-WCEE 2.2.2.7.7.2 szOID_CERTIFICATE_TEMPLATE