none
SAN в сертификатах RRS feed

  • Вопрос

  • Здравствуйте!

    Есть развернутый и настроенный(без каких либо доп. настроек) Центр Сертификации(Win2012R2) и есть терминальный сервер 2012 R2. Надо терминальному серверу сгенерировать сертификат с указанием "Дополнительное имя субъекта".

    Делал по стандарту Запросить новый сертификат - Политика регистрации AD - Шаблон "Компьютер" - свойства шаблона

    CN=test.local

    и там заполняю поля.

    НО когда заполнил поля "Дополнительное имя: - Служба DNS" записями test3.local, test2.local - в сгенерированом сертификате дополнительные записи не прописываются. Только 1 запись  test.local

    Тут на форуме вычитал что нужно на сервере CA сделать 

    certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

    net stop certsvc & net start certsvc

    Команды сделал и попробовал еще раз запросить сертификат - результат тот же.

    Помогите разобраться с проблемой.

    19 сентября 2019 г. 10:48

Ответы

  • Шаблон "Компьютер" берет имя субъекта из AD и не настроен на то, чтобы вообще писать что-либо в SAN.

    Используйте другой шаблон, который повзоляет ввести имя субъекта. Например, дайте учетной записи терминального сервера разрешение запрашивать сертификаты на шаблон Веб-сервер и запросите аналогичным образом сертификат на базе этого шаблона.

    Альтернатива (менее удобная, а потому я с ней знаком чисто теоритически): добавить SPN с нужными именами к учетной записи терминального сервера и создать и использовать самодельный шаблон на базе шаблона "Компьютер", в котором настроено помещение информации из SPN в SAN сертификата.

    PS То, что вы вычитали про EDITF_ATTRIBUTESUBJECTALTNAME2 - оно было необходимо только к Win2K3. В более новых версиях Windows в AD CS реализован другой механизм выдачи сертификатов с SAN, который позволяет обойтись без установки этого (потенциально небезопасного) флага.


    Слава России!

    • Помечено в качестве ответа Sarkan20 23 сентября 2019 г. 6:22
    19 сентября 2019 г. 13:29

Все ответы

  • Шаблон "Компьютер" берет имя субъекта из AD и не настроен на то, чтобы вообще писать что-либо в SAN.

    Используйте другой шаблон, который повзоляет ввести имя субъекта. Например, дайте учетной записи терминального сервера разрешение запрашивать сертификаты на шаблон Веб-сервер и запросите аналогичным образом сертификат на базе этого шаблона.

    Альтернатива (менее удобная, а потому я с ней знаком чисто теоритически): добавить SPN с нужными именами к учетной записи терминального сервера и создать и использовать самодельный шаблон на базе шаблона "Компьютер", в котором настроено помещение информации из SPN в SAN сертификата.

    PS То, что вы вычитали про EDITF_ATTRIBUTESUBJECTALTNAME2 - оно было необходимо только к Win2K3. В более новых версиях Windows в AD CS реализован другой механизм выдачи сертификатов с SAN, который позволяет обойтись без установки этого (потенциально небезопасного) флага.


    Слава России!

    • Помечено в качестве ответа Sarkan20 23 сентября 2019 г. 6:22
    19 сентября 2019 г. 13:29
  • Шаблон "Компьютер" берет имя субъекта из AD и не настроен на то, чтобы вообще писать что-либо в SAN.

    Используйте другой шаблон, который повзоляет ввести имя субъекта. Например, дайте учетной записи терминального сервера разрешение запрашивать сертификаты на шаблон Веб-сервер и запросите аналогичным образом сертификат на базе этого шаблона.

    Альтернатива (менее удобная, а потому я с ней знаком чисто теоритически): добавить SPN с нужными именами к учетной записи терминального сервера и создать и использовать самодельный шаблон на базе шаблона "Компьютер", в котором настроено помещение информации из SPN в SAN сертификата.

    PS То, что вы вычитали про EDITF_ATTRIBUTESUBJECTALTNAME2 - оно было необходимо только к Win2K3. В более новых версиях Windows в AD CS реализован другой механизм выдачи сертификатов с SAN, который позволяет обойтись без установки этого (потенциально небезопасного) флага.


    Слава России!

    Спасибо, понял, помогло.
    23 сентября 2019 г. 6:22