在 ADCS 中阻止主題備用名稱

我正在管理一個 Windows 2008 ADCS CA，並且已經意識到使用 SAN 頒發證書的安全風險。因此，我測試了在請求中發布帶有 SAN 的 PKCS10 文件，並在應該被阻止時使用 SAN 發布了證書。

可以肯定的是，我使用了命令 certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2 （注意減號）來刪除 SAN 標誌（如果它存在而它不存在）。 圖片

但是，這確實會在使用以下內容時阻止從其他請求屬性添加 SAN：san:dns=webmail.domainc.com&dns=mail.domainc.com&dns=autodiscover.domainc.com

那麼有沒有辦法完全阻止 SAN 頒發證書，而不管它們在哪裡指定？

好吧，實際上您已經做了應該做的事情，以防止通過自動請求批准在證書中註入未經授權的主題名稱。只要 SAN 擴展經過身份驗證（嵌入在 CSR 中），就可以擁有 SAN 擴展。馬克亨德森在他的評論中是正確的，你錯誤地理解了這個問題。真正的問題不在於 SAN，而在於如何將其添加到 CSR。並且不允許來自未經身份驗證的屬性的 SAN 是不好的，因為它們在未經驗證的情況下被處理並包含在證書中。

您還可以做什麼：要求 CA 經理批准所有使用來自傳入請求（而不是來自 Active Directory）的主題值的證書模板。仍然需要對不受信任的來源進行 SAN 值檢查。對於從 AD 自動建構主題的模板不需要這樣做，因為這些模板將完全忽略請求中包含的主題資訊，因此它們不受影響。

引用自：https://serverfault.com/questions/849126