none
Как настроить KeySpec в шаблоне сертификата в AD? RRS feed

  • Вопрос

  • В текстовом .inf шаблоне запроса сертификата есть параметры:

    • KeySpec=1
    • MachineKeySet = TRUE

    Как эти параметры настроить в шаблоне сертификата в AD?

    14 августа 2019 г. 10:22

Все ответы

  • Никак. Это - чисто клиентские параметры CryptoAPI, указывающие на: KeySpec - возможность использование ключа для расшифровки (только для старых, не-CNG провайдеров), MachineKeySet - место хранения секретного ключа (кажется, тоже только для не-CNG провайдеров, но не уверен), который на центр сертификации не передается. Для центра сертификации эти параметры никакого значения не имеют и в подписанный сертификат не включаются.

    Если сертификат помечен, как экспортируемый, то эти параметры можно поменять экспортом сертификата с ключом и его последующим импортом.

    PS Кое-какая полезная дополнительная информация по KeySpec есть здесь: https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/technical-reference/ad-fs-and-keyspec-property


    Слава России!

    14 августа 2019 г. 12:35
  • Т.е. если сертификат агента SCOM требует использования KeySpec=1, то я вынужден использовать запрос ключа через *.inf и нет никакой возможности использовать шаблоны AD?
    14 августа 2019 г. 13:09
  • В файле .inf можно указать имя шаблона в разделе [RequestAttributes]:     
    CertificateTemplate=имя_шаблона

    PS Я не совсем понимаю, какую задачу вы пытаетесь решить, поэтому мои ответы могут оказаться бесполезными для её решения.


    Слава России!

    14 августа 2019 г. 15:23
  • Агент SCOM может использовать сертификат, только если я создаю запрос сертификата с указанием

    • KeySpec=1

    Шаблон в АД есть и он указан в inf для запроса.

    Я хочу найти способ упростить задачу получения сертификата для агента SCOM, чтобы ответственные сотрудники могли получить сертификат с минимальной ручной работой через web интрефейс или ces/cep

    15 августа 2019 г. 6:46
  • Теперь мне понятна задача, и это - задача по SCOM, а не по CA. 

    Решения (лучшего чем ваше) по её упрощению не подскажу. Одним, самим по себе, шаблоном на CA она не решается,  потому как нужные вам параметры - это параметры хранения сертификата и его ключа на самом сервере, CA ими не управляет.


    Слава России!

    15 августа 2019 г. 10:58
  • В любом случае — спасибо за полезную информацию!
    15 августа 2019 г. 11:14