我想使用SCEP来发出客户证书,可能使用ADCS 。 我们已经有一个内部的脱机根CA(安全的安全,只用于签署和撤销中间的证书颁发机构),并且这个根由所有内部客户端和服务器信任。
为了签署客户端证书,我想创build一个只能做到这一点的中间件:签署客户端证书。 具体来说,我不想用这个中间人来签署服务器证书(因为中间人必须在在线系统上,我想限制可能的损害,以防被破坏)
这甚至有可能吗?
如果仅使用客户端authentication证书EKU(1.3.6.1.5.5.7.3.2)创build中间CA,那么即使模板被更改为允许认可服务器authentication证书,它们也将失败。
在Windows上,这将报告具有状态CERT_TRUST_IS_NOT_VALID_FOR_USAGE (或.NET中的X509ChainStatusFlags.NotValidForUsage )的叶/ EE证书的错误。
使用AD集成的CA,您可以指定允许CA颁发的证书模板。 所以,你可以。
但是请注意:证书模板存储在“林根”中。 因此,林根pipe理员可以更改可用的证书模板! 子CA的域pipe理员或本地pipe理员可以更改子CA提供的模板。 因此,您应该相应地在模板上设置访问权限。