Назад | Перейти на главную страницу

Автоматически создавать сертификаты альтернативного имени субъекта (SAN)

Мы запускаем корпоративный центр сертификации в Windows 2008R2. Я только что обновил Windows 7 на своей рабочей станции. Теперь каждый раз, когда я подключаюсь к удаленному серверу с помощью rdp, я получаю предупреждение о неправильном имени сервера. Это потому, что я использую только имя хоста для подключения, а сертификат создается с использованием fqdn.

Сертификаты на серверах были созданы с использованием автоматической подачи заявок по шаблону на основе шаблона компьютера.

Есть ли способ автоматически включить имя хоста в качестве альтернативного имени субъекта (san) и по-прежнему использовать автоматическую регистрацию? Я хочу, чтобы автоматически зарегистрированные сертификаты имели server и server.domain.local как действительное имя.

Вам нужно будет создать новый шаблон сертификата компьютера с опцией Subject Name: Supply в выбранном запросе. Вам необходимо будет указать в запросе как имя субъекта, так и альтернативное имя субъекта.

К сожалению, с этим параметром невозможно выполнить автоматическую регистрацию, поскольку службы сертификатов Windows позволяют использовать только DNS-имя или SPN для альтернативного.

Кроме того, выполнение чего-то подобного не считается лучшей практикой безопасности, поскольку злоумышленник может выполнять атаки типа «злоумышленник в середине» с помощью поддельного сертификата.