Автоматическое создание сертификатов альтернативного имени субъекта (SAN)

Question

Автоматическое создание сертификатов альтернативного имени субъекта (SAN)

Мы работаем с корпоративным центром сертификации в Windows 2008R2. Я только что сделал обновление до Windows 7 на моей рабочей станции. Теперь каждый раз, когда я подключаюсь к удаленному серверу с помощью rdp, я получаю предупреждение о том, что имя сервера неверно. Это потому, что я использую только имя хоста для подключения, а сертификат создается с помощью fqdn.

Сертификаты на серверах были созданы с помощью автоматической регистрации с шаблоном на основе шаблона компьютера.

Есть ли способ автоматически включить имя хоста в качестве альтернативного имени субъекта (san) и при этом использовать автоматическую регистрацию? Я хотел бы, чтобы у автоматически зарегистрированных сертификатов server а также server.domain.local как действительное имя.

6

windows-server-2008-r2 certificate certificate-authority ad-certificate-services

Источник

Jonathan 17 фев '12 в 09:27

1 ответ

Решение

Другие вопросы по тегам windows-server-2008-r2 certificate certificate-authority ad-certificate-services

newmanth 17 фев '12 в 15:29 2012-02-17 15:29 · Accepted Answer · 2012-02-17 15:29

Вам нужно будет создать новый шаблон сертификата компьютера с параметром Имя субъекта: Поставка в выбранном запросе. Вам нужно будет указать как имя субъекта, так и альтернативное имя субъекта в запросе.

К сожалению, с помощью этой опции невозможно выполнить автоматическую регистрацию, поскольку службы сертификации Windows разрешают использовать только DNS-имя или SPN для альтернативы.

Кроме того, выполнение подобных действий не будет считаться наилучшей практикой безопасности, поскольку злоумышленник может выполнять атаки "человек посередине" с помощью поддельного сертификата.