服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在Windows Server 2012 R2上创build具有名称和应用程序策略约束的根证书颁发机构(CA)
Intereting Posts
恢复mySQL修复操作后丢失的数据? 如何在2003 AD中设置Windows Web Server 2008 R2? 用于编程的Quick Linux邮件服务器设置 Apache VirtualHosts – 初学者问题 如何为Usenet设置NNTP服务器? Apache – 虚拟主机大量客户端可configurationSSL,反向代理 用于Microsoft SBS 2003 SQL报告服务不起作用 APC扩展无法加载dynamic库/usr/lib/php5/20090626/apcu.so 使用广告凭据login错误创buildPowershell服务 PowerBroker打开组列表和枚举 Windows桌面随机切换分辨率 将远程authorized_keys文件的列表分配给本地variables redirect到特定端口的Intranet服务器 SSD与SATA磁盘上的I / O等待值 我如何设置一个iptables的IPv6 DMZ没有静态分配?

在Windows Server 2012 R2上创build具有名称和应用程序策略约束的根证书颁发机构(CA)

我们想要什么:

我们想要为testlab实现一个CA。

  • CA只能为实验室本身和实验室名称空间创build证书。
  • 另外它应该只能够为客户端和服务器创build证书。 特别是CA不能为任何其他事情创build密码签名,电子邮件或任何证书。

我们有什么:

名称限制的部分已经完成。 在CAPolicy.inf中 

[Version] Signature= "$Windows NT$" [Strings] szOID_NAME_CONSTRAINTS = "2.5.29.30" [BasicConstraintsExtension] PathLength=1 Critical=Yes [Extensions] Critical = %szOID_NAME_CONSTRAINTS% %szOID_NAME_CONSTRAINTS% = "{text}" _continue_ = "SubTree=Include&" _continue_ = "UPN = .subdomain.domain.com&" _continue_ = "email = .subdomain.domain.com&" _continue_ = "DNS = .subdomain.domain.com&" _continue_ = "DIRECTORYNAME = DC=subdomain, DC=domain, DC=com&" _continue_ = "URL = .subdomain.domain.com&"

我们没有:

仅限于能够为客户端和服务器创build证书的限制丢失。 我们试图通过在CAPolicy.inf中使用它来完成它 

 [ApplicationPolicyStatementExtension] Policies = AppEmailPolicy, AppClAuthPolicy Critical = False [AppEmailPolicy] OID = 1.3.6.1.5.5.7.3.2 ; Client Authentication [AppClAuthPolicy] OID = 1.3.6.1.5.5.7.3.1 ; Server Authentication [ApplicationPolicyConstraintsExtension] RequireExplicitPolicy = 1 InhibitPolicyMapping = 1

但是这根本不影响CA.

那么如何才能通过应用程序约束来实现CAPolicy.inf呢?