Subject Alternative Names w Enterprise Certification Authority

20 stycznia 2017 at 10:26

Wdrożenie nowego urzędu certyfikatów (CA) w wersji Enterprise Issuing CA poszło bez większych problemów. Standardowe testy requestów, szablonów, wystawienia certyfikatów zostały zaakceptowane, po czym po kilku dniach okazało się, że jest problem z „częścią” atrybutów requestu, które są „wycinane” lub nie są akceptowane… Konkretnie chodziło o SAN (Subject Alternative Names), czyli właściwość pozwalającą na wpisanie wielu nazw DNS do jednego certyfikatu. Jest to przydatne w scenariuszach, gdy na jednym adresie IP/nazwie DNS mamy wystawionych wiele różnych stron www lub przypisanych wiele serwerów obsługujących daną aplikację korzystającą z certyfikatów. Standardowa procedura – sprawdzenie czy requestujący na pewno wprowadza pole SAN – wprowadza. Wystawienie certyfikatu bez problemów. Eksport – pola nie ma… Próbujemy przez portal \certsrv – wypełniamy pole „Attributes” i efekt jest nadal taki sam… Okazuje się że standardowo Enterprise CA uniemożliwia korzystanie z SAN, więc trzeba pogrzebać w politykach Sprowadza się to do wykonania 2 czynności: certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2 Restartu usług urzędu certyfikacji I już „działa” Mimo, że Microsoft nie zaleca na poziomie Enterprise CA wykorzystywać SAN, jednak życie często pisze własne scenariusze i własne potrzeby…

Let’s begin.

21 listopada 2014 at 04:51

Zapraszam do odwiedzania mojej strony, która poruszać będzie zagadnienia dotyczące technologii usług katalogowych Active Directory oraz usług działających w oparciu o AD. W pierwszej kolejności na tej stronie znajdą się opublikowane wcześniej na innych portalach artykuły i porady – aby w dalszej kolejności zebrać ciekawe przypadki problemów rozwiązywanych w trakcie realizacji projektów, jak i kolejne artykuły omawiające aspekty teoretyczne funkcjonowania technologii. Pozdrowienia i wpadajcie często!

© Marcin Krzanowicz