我有一個 AD 林和一台 CA 伺服器。在證書範本中,我選取了「在 Active Directory 中發布證書」複選框。
此外,在範本中,「主題名稱」選項設定為「在請求中提供」。所有使用者的證書由持有註冊代理證書的服務帳戶請求。
憑證要求中的 CN 和 SAN 屬性與 AD DS 中使用者物件的 CN 和 SAN 屬性相符。
然而,一旦憑證由 CA 頒發,它就會發佈到服務帳戶(請求者)而不是實際的使用者帳戶。
請參閱此主題中的最後一條評論(日期為 2018 年 5 月 17 日) -https://social.technet.microsoft.com/Forums/en-US/7c336ce5-9f7c-4713-9e27-8a59273b3182/how-does-the-ca-perform-this-quotpublish-certificate-in-active-rectoryquot?論壇=winserversecurity。我面臨類似的問題。
但是,上面帖子中接受的答案指出證書應該發佈到用戶帳戶而不是服務帳戶。但實際觀察到的行為是不同的。
有人可以指導如何解決這個問題嗎?謝謝。
答案1
如果它沒有按您想要的方式運作,您可以讓 EA 將憑證發佈到 AD 中的使用者帳戶,作為其流程的一部分。 (“只是”編寫腳本)。
如今,很少看到 userCertificate 屬性的使用(即發佈到 Active Directory);更常見的是使用憑證本身作為驗證項。 (即憑證顯示 CN=Bazza;由受信任的頒發者頒發;因此使用者是 Bazza,無論 AD 使用者帳戶上是否存在)。