ADCSでサブジェクトの代替名をブロックする
私はWindows2008 ADCS CAを管理しており、SANで証明書を発行する際のセキュリティリスクを認識しています。そこで、リクエストにSANを含むPKCS10ファイルの発行をテストし、ブロックされるはずのときにSANを使用して証明書を発行しました。
確かに、コマンドcertutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2(マイナスに注意)を使用して、SANフラグが存在し、存在しなかった場合は削除しました。 画像
ただし、これは、次のようなものを使用する場合、追加の要求属性からのSANの追加をブロックします。san:dns=webmail.domainc.com&dns=mail.domainc.com&dns=autodiscover.domainc.com
では、SANが指定されている場所に関係なく、発行された証明書からSANを完全にブロックする方法はありますか?
ええと、実際には、自動リクエスト承認を通じて証明書に無名のサブジェクト名が挿入されるのを防ぐために、あなたはすでにすべきことをしました。 SAN拡張機能が認証されている(CSRに埋め込まれている)限り、SAN拡張機能を使用しても問題ありません。MarkHendersonのコメントは正しかったのですが、間違って理解しています問題。本当の問題はSANにあるのではなく、CSRにどのように追加されるかです。認証されていない属性からSANを許可するのは悪いことです。なぜなら、それらは検証なしで処理され、証明書に含まれるからです。
他にできること:(Active Directoryからではなく)着信要求からのサブジェクト値を使用するすべての証明書テンプレートに対してCAマネージャーの承認を要求します。 SAN信頼できないソースの値検査は引き続き必要です。ADからサブジェクトを自動的に構築するテンプレートでは、リクエストに含まれるサブジェクト情報を完全に無視するため、これを行う必要はありません。影響を受けません。