У меня есть лес AD и один сервер CA. В шаблоне сертификата у меня отмечен флажок "Опубликовать сертификат в Active Directory".
Также в шаблоне опция Имя субъекта установлена на "Предоставить в запросе". Сертификаты для всех пользователей запрашиваются учетной записью службы, содержащей сертификат Enrollment Agent.
Атрибуты CN и SAN в запросах сертификатов соответствуют атрибутам объекта пользователя в AD DS.
Однако после того, как сертификат выпущен центром сертификации, он публикуется в учетной записи службы (запрашивающей стороны), а не в учетной записи фактического пользователя.
См. последний комментарий (от 17 мая 2018 г.) в этой теме -https://social.technet.microsoft.com/Forums/en-US/7c336ce5-9f7c-4713-9e27-8a59273b3182/how-does-the-ca-perform-this-quotpublish-certificate-in-active-directoryquot?forum=winserversecurity. У меня похожая проблема.
Однако принятый ответ в сообщении выше утверждает, что сертификат должен был быть опубликован в учетной записи пользователя, а не в учетной записи службы. Но фактическое наблюдаемое поведение отличается.
Может кто-нибудь подскажет, как это исправить? Спасибо.
решение1
Если он работает не так, как вам хотелось бы, вы можете поручить EA опубликовать сертификат в учетной записи пользователя в AD в рамках своего процесса. («Просто» запишите его).
В наши дни атрибут userCertificate используется реже (например, для публикации в Active Directory); чаще в качестве элемента проверки используется сам сертификат (например, сертификат имеет CN=Bazza; был выдан доверенным издателем; следовательно, пользователь — Bazza независимо от присутствия в учетной записи пользователя AD).