Я играю с ролью Windows Server CA и входами по смарт-карте. У нас есть работающая установка PKI и работающая выдача / вход смарт-карт. Что мне интересно, так это опция «Требовать это количество авторизованных подписей» в «шаблоне входа на смарт-карту» и то, как просматривать подписи. На мой взгляд, эта опция полезна, поскольку для сертификата из этого шаблона потребуется авторизованная подпись от другого доверенного лица / стороны и не позволит произвольным людям выдавать сертификаты входа в систему со смарт-картой (при условии, что агент регистрации должным образом защищен). Я могу выдавать сертификаты, если этот параметр установлен, но я не знаю, как узнать, какой сертификат использовался для подписи сертификата входа в систему.
Мой сертификат подписи был взят из почти неотредактированной копии шаблона сертификата «Агент регистрации» и выпущен без проблем. Когда я выдаю сертификат входа в систему со смарт-картой, мне предлагается выбрать сертификат подписи (который является сертификатом агента регистрации), и после его выбора я могу выпустить сертификат входа в систему. Когда я проверяю сертификат (дважды щелкните сертификат в оснастке Windows CA), цепочка показывает только мой CA, а сам сертификат находится прямо под ним. Я понимаю, что подписываю только сертификат, а не промежуточный ЦС, но не должно ли что-то из моего сертификата подписи появиться в цепочке / деталях?
certutil -scinfo показывает, что цепочка проверена и имеет две записи CertContext, хотя ни в цепочке проверки, ни где-либо в выходных данных нет никаких указаний на то, что я подписал сертификат.
tl; dr, если моя подпись требуется для выдачи сертификата, не должно ли что-то, относящееся ко мне, появиться в окончательных данных сертификата?
Вы можете узнать, кем был агент регистрации, посмотрев исходный запрос в центре сертификации MMC (certsrv.mmc).
Выберите Выпущенные сертификаты в папке на левой панели и найдите интересующий вас сертификат. Щелкните сертификат правой кнопкой мыши и выберите Все задачи -> Экспорт двоичных данных .... В открывшемся диалоге выберите Бинарный запрос и подтвердить Просмотр форматированной текстовой версии данных выбирается перед нажатием на хорошо кнопка.
Блокнот откроется с текстовым представлением запроса. Это довольно беспорядочно и трудно читать, но если вы прокрутите вниз, вы увидите сертификат, разделенный ================ Begin Nesting Level 1 ================ и ================ End Nesting Level 1 ================. Это сертификат эксперта. Проверить Тема: для подробностей.