Windows
XCEP 策略 (XML) 如何為使用者或電腦約束定義 SubjectType?
我們開發了自己的 XCEP/CES WCF 服務實現,該服務使用我們的證書管理解決方案和 Microsoft CA 的組合來頒發證書。使用標準 XCEP XML 定義(與標準 Microsoft XCEP/CES WCF 服務相同)。我們對 WCF 服務使用相同的 WSDL。這適用於 CEP 和 CES。
現在,我們擴展了軟體以使用不同的證書頒發機構(不是 Microsoft)。新 CA 是 GlobalSign,它有自己的證書模板定義和設置(不同於 MS CA 證書模板設置)。CEP 策略服務工作正常,並根據 CEP XML 策略結構創建策略定義,但我們還有一個問題。
XCEP 策略如何定義 SubjectType,即策略(證書模板)是針對使用者還是電腦?目前,客戶端將它們解釋為使用者模板,我們看不到可以定義目標類型“電腦”的屬性(或基本約束擴展)。
我們看到的唯一選項是一個名為“證書模板”擴展的擴展:
它由元素
generalFlags
中的數據確定(Attributes
$$ MS-XCEP $$§3.1.4.1.3.1)。該數據是PKI-Certificate-Template.flags
DS 屬性值的按位列舉 ($$ MS-CRTD $$ §2.4).
- 如果基準值
CT_FLAG_MACHINE_TYPE
設置了位,則主題類型為電腦。- 如果基準值有位
CT_FLAG_IS_CA
,則主題類型為 CA。- 如果這兩個位都沒有設置,那麼主題類型是使用者。