Как включать все записи DNS и IP-адрес сервера в автоматическом приеме сертификата Microsoft AD CS?
В моей компании существует много серверов, в которые пользователи удаленно входят им, чтобы сделать их обязанности. Мы включили компьютерному сертификату автоматический прием на них для уверения безопасного соединения. Но потому что у нас есть некоторые серверы с несколькими записями DNS, вероятно, что пользователи не используют основное название DNS сервера или используют IP-адрес его так, они получают ошибку сертификата, когда они пытаются соединиться. Поэтому мы хотим способ включать все записи DNS и IP-адрес сервера на Подчиненное Альтернативное название сертификата автоматически.
Поскольку ни CA, ни сервер не знают DNS-имена, которые ваши клиенты используют для доступа к серверу, вы не можете сделать это автоматически. Вам необходимо указать DNS-имена, которые вы хотите использовать. Для этого вам необходимо создать собственный запрос для серверов.
Создайте файл с именем requestSAN.inf со следующим содержимым
[Version]
Signature="$Windows NT$
[NewRequest]
Subject = "C=DE,O=YOUR-COMPANY-NAME,CN=SERVER.COMPANY.COM";
EncipherOnly = FALSE
Exportable = TRUE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xA0 ; Digital Signature, Key Encipherment
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = CMC
[RequestAttributes]
;I assume you don`t use a customer Template, otherwise use the proper template
CertificateTemplate = WebServer
SAN="dns=SERVER.COMPANY.COM&dns=SERVER2.COMPANY.COM&dns=SERVER3.COMPANY.COM"
На сервере выполните команду ниже, чтобы сгенерировать запрос на подпись сертификата:
certreq -new requestSAN.inf certnew.req
отправьте certnew.req в свой центр сертификации и получите соответствующий сертификат