在AD憑證模板模板可以選擇根據 AD 資訊構建包括電子郵件、DNS、UPN 等。
當使用 powershell、openssl 和憑證 mmc 管理單元建立 CSR 時,我知道可以新增其他屬性,例如州、城市、組織、組織單位、地點等。是否有可能從 AD 中提取此類資訊所以當伺服器設定為自動註冊這種附加資訊包含在憑證中嗎?
我知道可以使用以下命令將附加資訊新增至 AD 使用者/物件中屬性編輯器但我不確定你是否可以指定用於提取此資訊的證書模板。
謝謝!
答案1
不具有內建功能。您必須透過實作來編寫自訂策略模組ICertPolicy2介面然後裡面ICertPolicy::驗證請求稱呼ICertServerPolicy::SetCertificateProperty修改主題以包含自訂 RDN。
答案2
我用 C# 寫了一個策略模組,可以在這裡找到它:https://github.com/Sleepw4lker/TameMyCerts。
即將推出的版本肯定會包含您為使用者帳戶所描述的功能。也許我也會為機器帳戶實現它。
親切的問候