Windows-Server-2008

在 ADCS 中阻止主題備用名稱

  • May 9, 2017

我正在管理一個 Windows 2008 ADCS CA,並且已經意識到使用 SAN 頒發證書的安全風險。因此,我測試了在請求中發布帶有 SAN 的 PKCS10 文件,並在應該被阻止時使用 SAN 發布了證書。

可以肯定的是,我使用了命令 certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2 (注意減號)來刪除 SAN 標誌(如果它存在而它不存在)。 圖片

但是,這確實會在使用以下內容時阻止從其他請求屬性添加 SAN:san:dns=webmail.domainc.com&dns=mail.domainc.com&dns=autodiscover.domainc.com

那麼有沒有辦法完全阻止 SAN 頒發證書,而不管它們在哪裡指定?

好吧,實際上您已經做了應該做的事情,以防止通過自動請求批准在證書中註入未經授權的主題名稱。只要 SAN 擴展經過身份驗證(嵌入在 CSR 中),就可以擁有 SAN 擴展。馬克亨德森在他的評論中是正確的,你錯誤地理解了這個問題。真正的問題不在於 SAN,而在於如何將其添加到 CSR。並且不允許來自未經身份驗證的屬性的 SAN 是不好的,因為它們在未經驗證的情況下被處理並包含在證書中。

您還可以做什麼:要求 CA 經理批准所有使用來自傳入請求(而不是來自 Active Directory)的主題值的證書模板。仍然需要對不受信任的來源進行 SAN 值檢查。對於從 AD 自動建構主題的模板不需要這樣做,因為這些模板將完全忽略請求中包含的主題資訊,因此它們不受影響。

引用自:https://serverfault.com/questions/849126