EmModelos de certificado ADos modelos têm a opção deconstruir a partir de informações do ADe inclui e-mail, DNS, UPN, etc.
Ao criar um CSR usando powershell, openssl e o snap-in do certificado mmc, sei que é possível adicionar atributos adicionais como Estado, Cidade, Organização, Unidade Organizacional, Localidade e outros. é possívelter esse tipo de informação extraída do ADentão quando os servidores estão configurados parainscrição automáticaesse tipo de informação adicional está incluída no certificado?
Eu sei que informações adicionais podem ser adicionadas aos usuários/objetos do AD usandoEditor de atributosmas não tenho certeza se você pode especificarmodelos de certificado para extrair essas informações.
Obrigado!
Responder1
Não com funcionalidade integrada. Você precisa escrever um módulo de política personalizado implementandoICertPolicy2interface e depois dentroICertPolicy::VerifyRequestchamarICertServerPolicy::SetCertificatePropertypara modificar o assunto para incluir RDNs personalizados.
Responder2
Eu escrevi um módulo de política em C#, encontre-o aqui:https://github.com/Sleepw4lker/TameMyCerts.
A próxima versão certamente incluirá o recurso que você descreveu para contas de usuário. Talvez eu implemente isso também para contas de máquinas.
Atenciosamente