ВШаблоны сертификатов ADшаблоны имеют возможностьпостроить из информации ADи включает в себя электронную почту, DNS, UPN и т. д.
При создании CSR с использованием PowerShell, OpenSSL и оснастки MMC сертификата я знаю, что можно добавлять дополнительные атрибуты, такие как Штат, Город, Организация, Подразделение организации, Населенный пункт и другие. Возможно лиизвлечь этот тип информации из ADпоэтому, когда серверы настроены наавтоматическая регистрациятакая дополнительная информация включена в сертификат?
Я знаю, что можно добавить дополнительную информацию к пользователям/объектам AD с помощьюРедактор атрибутовно я не уверен, что вы можете это уточнитьшаблоны сертификатов для извлечения этой информации.
Спасибо!
решение1
Не со встроенной функциональностью. Вам придется написать собственный модуль политики, реализуяICertPolicy2интерфейс и затем внутриICertPolicy::VerifyRequestвызовICertServerPolicy::SetCertificatePropertyдля изменения темы с целью включения пользовательских RDN.
решение2
Я написал модуль политики на языке C#, его можно найти здесь:https://github.com/Sleepw4lker/TameMyCerts.
В предстоящей версии обязательно будет функция, которую вы описали для учетных записей пользователей. Возможно, я реализую ее и для учетных записей машин.
С уважением