Subject Alternative Names w Enterprise Certification Authority

20 stycznia 2017 at 10:26

Wdrożenie nowego urzędu certyfikatów (CA) w wersji Enterprise Issuing CA poszło bez większych problemów. Standardowe testy requestów, szablonów, wystawienia certyfikatów zostały zaakceptowane, po czym po kilku dniach okazało się, że jest problem z „częścią” atrybutów requestu, które są „wycinane” lub nie są akceptowane…

Konkretnie chodziło o SAN (Subject Alternative Names), czyli właściwość pozwalającą na wpisanie wielu nazw DNS do jednego certyfikatu. Jest to przydatne w scenariuszach, gdy na jednym adresie IP/nazwie DNS mamy wystawionych wiele różnych stron www lub przypisanych wiele serwerów obsługujących daną aplikację korzystającą z certyfikatów.

Standardowa procedura – sprawdzenie czy requestujący na pewno wprowadza pole SAN – wprowadza. Wystawienie certyfikatu bez problemów. Eksport – pola nie ma…

Próbujemy przez portal \certsrv – wypełniamy pole „Attributes” i efekt jest nadal taki sam…

Okazuje się że standardowo Enterprise CA uniemożliwia korzystanie z SAN, więc trzeba pogrzebać w politykach :)

Sprowadza się to do wykonania 2 czynności:

  1. certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
  2. Restartu usług urzędu certyfikacji

I już „działa” :)

Mimo, że Microsoft nie zaleca na poziomie Enterprise CA wykorzystywać SAN, jednak życie często pisze własne scenariusze i własne potrzeby… :)