如何区分证书模板中的用户证书或计算机证书?我目前有一个为网络服务器 SSL 证书设计的模板,但是,用户和计算机都可以请求它。我已经用计算机和用户 MMC-snapin 对此进行了测试。我想知道如何将证书模板仅限制在计算机上,而不是用于用户。
亲切的问候,
AskOverflow.Dev
如何区分证书模板中的用户证书或计算机证书?我目前有一个为网络服务器 SSL 证书设计的模板,但是,用户和计算机都可以请求它。我已经用计算机和用户 MMC-snapin 对此进行了测试。我想知道如何将证书模板仅限制在计算机上,而不是用于用户。
亲切的问候,
事实上,它们已经受到主题类型的限制:
主题类型主要用于定义一些特定于主题的设置。例如,如果主题类型是 CA,则默认情况下会启用基本约束扩展,并且无法禁用并删除请求处理、加密、主题名称选项卡。使用证书 MMC 管理单元时,它会按主题类型筛选可用模板。如果管理单元上下文设置为用户,则仅
SubjectType = User显示带有的模板。如果管理单元上下文设置为计算机,则仅SubjectType = Computer显示带有的模板。但是,此约束不会限制用户注册任何类型的模板。这是预期行为,因为 ADCS 支持不同的注册场景,例如断开连接(当客户端没有直接访问 CA 并手动提交 CSR 时)环境和 E(R)OBO(代表注册/请求),其中注册代理执行证书不同学科类型的招生。它是设计使然,无法关闭或更改。
你真正应该做的——将模板的权限分别分配给主题类型。如果是用户模板,则仅将注册/自动注册权限分配给包含用户帐户的组。如果是计算机模板,则仅将权限分配给包含计算机帐户的组。也就是说,您必须仅使用权限来约束模板。
更改权限时,请勿删除
Authenticated Users: Read权限,因为这会阻止所有人注册此模板。