Я использую клиентские сертификаты X.509 для аутентификации четко определенного набора клиентов Windows через взаимный TLS. Существует шаблон сертификата, который выдает этот тип сертификата всем клиентам в этом наборе, но не другим.
На стороне сервера я могу запустить код, который оценивает сертификат X.509, чтобы определить, был ли он выдан этим шаблоном.
Однако имя шаблона или идентификатор не являются частью данных X.509.
Есть ли другой способ внести уникальную информацию в сертификат через шаблон? Например
- изменить тему (например, включить какой-либо общий атрибут AD или фиксированное значение)
- добавить или изменить другое свойство сертификата x.590
Кажется, я могу добиться этого, используя
- выдача сертификата определенным промежуточным центром сертификации (легко проверяется на сервере с помощью списка доверенных корневых сертификатов)
- с использованием пользовательского расширения использования ключа (потребуется специальный код на стороне сервера)
Однако оба эти метода довольно сложны в реализации.
(Это продолжениеШаблоны сертификатов Windows: как включить групповые (или OU) утверждения в клиентские сертификаты SSL/TLSгде я, вероятно, задал неправильный вопрос)
решение1
Однако имя шаблона или идентификатор не являются частью данных X.509.
Оказывается, это не так, я просто пропустил это.
Идентификатор шаблона и версия кодируются в OID.1.3.6.1.4.1.311.21.7как определеноMS-WCEE 2.2.2.7.7.2 szOID_CERTIFICATE_TEMPLATE