Как отличить сертификат пользователя от сертификата компьютера в шаблонах сертификатов? В настоящее время у меня есть шаблон, разработанный для сертификата SSL веб-сервера, однако его могут запросить и пользователи, и компьютеры. Я тестировал это на компьютере и на пользовательской MMC-snapin. Я хотел бы, как ограничить шаблон сертификата только компьютерами, а не пользователями.
С уважением,
Фактически, они уже ограничены типами субъектов:
Тип темы в основном используется для определения некоторых специфичных для темы настроек. Например, если тип субъекта - CA, то расширение Basic Constratints включено по умолчанию и не может быть отключено и удаляет вкладки обработки запросов, криптографии, имени субъекта. При использовании оснастки Certificates MMC он фильтрует доступные шаблоны по типу темы. Если контекст оснастки установлен как пользователь, то только шаблоны с SubjectType = User
показаны. Если контекст оснастки установлен на компьютер, то только шаблоны с SubjectType = Computer
показаны.
Однако это ограничение не ограничивает пользователей от регистрации любого типа шаблона. Это предполагаемое поведение, поскольку ADCS поддерживает различные сценарии регистрации, такие как отключенные (когда клиент не имеет прямого доступа к CA и отправляет CSR вручную) среды и E (R) OBO (Enroll / Request On Behalf Of), где агент регистрации выполняет сертификат. набор на разные типы предметов. Это сделано по дизайну, не может быть отключено или изменено.
Что вам действительно стоит сделать - назначить разрешения на шаблоны соответственно типу темы. Если это шаблон пользователя, назначьте разрешения на регистрацию / автоматическую регистрацию только для групп, содержащих учетные записи пользователей. Если это шаблон компьютера, назначайте разрешения только тем группам, которые содержат учетные записи компьютеров. То есть вы должны ограничивать шаблоны, используя только разрешения.
При изменении разрешений не удаляйте Authenticated Users: Read
разрешений, потому что это помешает всем зарегистрировать этот шаблон.