Мы запускаем корпоративный центр сертификации в Windows 2008R2. Я только что обновил Windows 7 на своей рабочей станции. Теперь каждый раз, когда я подключаюсь к удаленному серверу с помощью rdp, я получаю предупреждение о неправильном имени сервера. Это потому, что я использую только имя хоста для подключения, а сертификат создается с использованием fqdn.
Сертификаты на серверах были созданы с использованием автоматической подачи заявок по шаблону на основе шаблона компьютера.
Есть ли способ автоматически включить имя хоста в качестве альтернативного имени субъекта (san) и по-прежнему использовать автоматическую регистрацию? Я хочу, чтобы автоматически зарегистрированные сертификаты имели server
и server.domain.local
как действительное имя.
Вам нужно будет создать новый шаблон сертификата компьютера с опцией Subject Name: Supply в выбранном запросе. Вам необходимо будет указать в запросе как имя субъекта, так и альтернативное имя субъекта.
К сожалению, с этим параметром невозможно выполнить автоматическую регистрацию, поскольку службы сертификатов Windows позволяют использовать только DNS-имя или SPN для альтернативного.
Кроме того, выполнение чего-то подобного не считается лучшей практикой безопасности, поскольку злоумышленник может выполнять атаки типа «злоумышленник в середине» с помощью поддельного сертификата.