Certificate

如何將 ADCS 證書模板限制為使用者或電腦類型

  • April 3, 2020

如何區分證書模板中的使用者證書或電腦證書?我目前有一個為網路伺服器 SSL 證書設計的模板,但是,使用者和電腦都可以請求它。我已經用電腦和使用者 MMC-snapin 對此進行了測試。我想知道如何將證書模板僅限制在電腦上,而不是用於使用者。

親切的問候,

事實上,它們已經受到主題類型的限制:

  • 使用者
  • 電腦
  • 認證機構

主題類型主要用於定義一些特定於主題的設置。例如,如果主題類型是 CA,則預設情況下會啟用基本約束擴展,並且無法禁用並刪除請求處理、加密、主題名稱選項卡。使用證書 MMC 管理單元時,它會按主題類型篩選可用模板。如果管理單元上下文設置為使用者,則僅SubjectType = User顯示帶有的模板。如果管理單元上下文設置為電腦,則僅SubjectType = Computer顯示帶有的模板。

但是,此約束不會限制使用者註冊任何類型的模板。這是預期行為,因為 ADCS 支持不同的註冊場景,例如斷開連接(當客戶端沒有直接訪問 CA 並手動送出 CSR 時)環境和 E(R)OBO(代表註冊/請求),其中註冊代理執行證書不同學科類型的招生。它是設計使然,無法關閉或更改。

你真正應該做的——將模板的權限分別分配給主題類型。如果是使用者模板,則僅將註冊/自動註冊權限分配給包含使用者帳戶的組。如果是電腦模板,則僅將權限分配給包含電腦帳戶的組。也就是說,您必須僅使用權限來約束模板。

更改權限時,請勿刪除Authenticated Users: Read權限,因為這會阻止所有人註冊此模板。

引用自:https://serverfault.com/questions/1010711