web-dev-qa-db-ja.com

サブジェクト代替名(SAN)証明書を自動的に作成する

Windows2008R2でエンタープライズCAを実行しています。ワークステーションでWindows7を更新しました。これで、rdpを使用してリモートサーバーに接続するたびに、サーバー名が間違っていることを示す警告が表示されます。これは、接続にホスト名のみを使用し、証明書がfqdnを使用して作成されるためです。

サーバー上の証明書は、コンピューターテンプレートに基づくテンプレートを使用した自動登録を使用して作成されています。

ホスト名をサブジェクト代替名(san)として自動的に含め、それでも自動登録を使用する方法はありますか?自動登録された証明書に、有効な名前としてserverserver.domain.localを付けたいのですが。

6
Jonathan

[サブジェクト名:選択したリクエストで指定]オプションを使用して、新しいコンピューター証明書テンプレートを作成する必要があります。リクエスト内でサブジェクト名と代替サブジェクト名の両方を提供する必要があります。

残念ながら、このオプションを使用して自動登録する方法はありません。Windows証明書サービスでは、代替にDNS名またはSPNの使用しか許可されていないためです。

余談ですが、攻撃者は偽造された証明書を使用してman-in-the-middle攻撃を実行できるため、このようなことを行うことはセキュリティのベストプラクティスとは見なされません。

3
newmanth