none
证书应用问题 RRS feed

  • 问题

  • 您好!请教几个关于证书应用的问题。
    1.是否能让域用户只能手动申请一次证书,不能重复申请?
    2.是否可以实现颁发给用户用于无线认证的证书不能用于VPN认证,给用户的VPN证书不能用于无线认证,如何实现?(用于无线和VPN的是同一台证书服务器)
    3. 证书吊销列表的问题,如颁发给用户的VPN证书,如用户离职,如何确保他不能连入VPN,是否在服务器中吊销他的证书就可以?
    4.另外生产环境中还有一台儿独立的证书服务器用于给路由器发IPSEC 证书做LAN2LAN
    VPN认证,证书的有效期设了二年,那二年后近100个路由器的证书将到期,如何自动续期?
    2013年4月26日 2:29

答案

  • 一个个问题来看吧。

    问题1,你应该说的是AutoEnroll,没法控制User申请多张证书吧?这个看起来没有哪里可以配置为之允许注册一次。所以,我觉得可以编写一个脚本或小程序,循环查询已颁发证书,当有新增时,抽取出该证书的申请人AD账号,然后加入到证书模板的ACL中,Deny其AutoEnroll

    这个开发的工作量应该不是很大。

    2013年4月26日 3:28

全部回复

  • 一个个问题来看吧。

    问题1,你应该说的是AutoEnroll,没法控制User申请多张证书吧?这个看起来没有哪里可以配置为之允许注册一次。所以,我觉得可以编写一个脚本或小程序,循环查询已颁发证书,当有新增时,抽取出该证书的申请人AD账号,然后加入到证书模板的ACL中,Deny其AutoEnroll

    这个开发的工作量应该不是很大。

    2013年4月26日 3:28
  • 1.可以让该模板的证书需手动允许,看到重复不批。因为不是自动。自动有自动设置对应。手动恐怕就要手动对应。

    2.Custom application policy OID,RADIUS供应商特定添加。

    3.吊销,到客户端以各方式得到CRL。

    4.既然是路由器,应该是用的NDES,详情电询思科。

    目测:过程全手动。当然也可以用脚本。

    2013年4月28日 5:24