内网安全之证书模版的管理

证书模板 Certificate templates 是 CA 证书颁发机构的一个组成部分,是证书策略中的重要元素,是用于证书注册、使用和管理的一组规则和格式。当 CA 收到对证书的请求时,必须对该请求应用一组规则和设置,以执行所请求的功能,例如证书颁发或更新。这些规则可以是简单的,也可以是复杂的,也可以适用于所有用户或特定的用户组。证书模板是在 CA 上配置并应用于传入证书请求的一组规则和设置。证书模板还向客户机提供了关于如何创建和提交有效的证书请求的说明。 基于证书模板的证书只能由企业 CA 颁发。这些模板存储在活动目录域服务(ADDS)中,以供林中的每个 CA 使用。这允许 CA 始终能够访问当前标准模板,并确保跨林一致的应用。
证书模板通过允许管理员发布已为选定任务预先配置的证书,可以大大简化管理证书颁发机构(CA)的任务。证书模板管理单元允许管理员执行以下任务:

  • 查看每个证书模板的属性
  • 复制和修改证书模板
  • 控制哪些用户和计算机可以读取模板并注册证书
  • 执行与证书模板相关的其他管理任务

证书模块的查看和修改

使用 certtmpl.msc 命令打开证书模板控制台,可以看到系统默认的证书模板
image.png
如果想查看或修改某个模板的属性,可以选中该模板,然后右键—>“属性 ®”进行查看。由于系统默认的模板绝大部分不可修改属性,因此使用这种方式查看的模板属性较少。我们可以通过复制模板操作来查看模板更多的属性,选中要查看属性的模板,右键—>“复制模板(U)”,会弹出新模板的属性配置窗口,在这个窗口可以查看模板全部的属性。如图所示,我们查看“域控制器身份验证”复制模板的属性。
image.png
如果想修改属性的值,可以直接修改,然后应用——>确定即可
不建议对系统默认的证书模板进行修改,如果想修改的话,建议先复制一个模板,然后再对其进行修改

复制证书模版

如果想要复制某个模板,可以选中该模板,然后右键——>复制模板(U)即可。
image.png
之后就可以在系统默认的末班中看到复制的模版了
image.png

证书模版的属性

使用者名称

使用者名称定义了如何构建证书的专有名称

  • 在请求中提供
  • 由来自请求证书的主体在活动目录中的信息来生成

如果是由来自请求证书的主体在活动目录中的信息来生成,其使用者名称的格式,有以下选项:

  • DNS 名称
  • 公用名
  • 完全可分辨名称

是否将这个信息包括在另一个使用者名称中,这里有四个复选框

  • 电子邮件名(E)
  • DNS 名(D)
  • 用户主体名称(UPN)(U)
  • 服务的主体名称(SPN)(V)

image.png

发布要求

发布要求属性定义了要申请证书需要哪些条件
如图所示,可以看到并未勾选“CA 证书管理程序批准©”选项。那么有注册证书权限的用户即可申请证书。
image.png
如果勾选了“CA 证书管理程序批准©”选项,会在证书模板 AD 对象的 msPKI-Enrollment-Flag 属性上设置 CT_FLAG_PEND_ALL_REQUESTS (0x2) 位。
image.png
这会将基于该模板的所有证书注册请求置于待处理状态(Pending Requests,在 certsrv.msc 的 “挂起的申请” 部分中可见),这需要证书管理员在颁发证书之前予以批准或拒绝。
发布要求中显示的第二组限制是 “授权签名的数量(H)”和 “应用程序策略”。 前者要求证书请求在证书被颁发之前由现有的授权证书进行数字签名,该设置就定义了 CSR 中 CA 接受的签名数量。后者定义了颁发证书所需的签名证书必须具有的 EKU OID。这些设置的常见用途是注册代理(Enrollment Agents),其表示可以代表其他用户请求证书的实体。为此,CA 必须向注册代理帐户颁发至少包含证书请求代理 EKU(OID 1.3.6.1.4.1.311.20.2.1)的证书。一旦颁发,注册代理就可以代表其他用户签署 CSR 并请求证书。而前面所说的 “授权签名的数量(H)” 就指定了在 CA 考虑颁发证书之前,注册代理必须签署 CSR 的数量是多少。
image.png

取代模版

取代模板属性定义了此模板颁发的证书会取代该属性中所有添加到这个列表的模板所颁发的证书。
image.png

扩展

扩展属性定义了该模板中包含的扩展。需要注意的是应用程序策略扩展,这个扩展决定了这个模板的用途,比如说智能卡登录、服务器身份验证、客户端身份验证等等。经过测试,应用程序策略中包含如下用途的证书可用于 Kerberos 身份认证:

  • 客户端身份验证,对应的 OID 为 1.3.6.1.5.5.7.3.2
  • PKINIT 客户端身份验证,对应的 OID 为 1.3.6.1.5.2.3.4,默认情况下,没有该 OID,需要手动添加
  • 智能卡登录,对应的 OID 为 1.3.6.1.4.1.311.20.2.2
  • 任何目的,对应的 OID 为 2.5.29.37.0
  • 子CA

此外,Specterops 发现可以滥用的另一个 EKU OID 是证书申请代理,对应 的 OID 为 1.3.6.1.4.1.311.20.2.1。除非设置了特定限制,否则具有此 OID 的证书可 用于代表其他用户申请证书
image.png

安全

安全属性也就是该证书模板的访问控制列表,定义了哪些对象对该模板有哪些权限,比如注册、读取、写入等权限。如图所示是域控制器身份验证模板的属性,可以看到普通用户只对其具有读取的属性。
image.png

常规

常规属性定义了证书的有效期和续订期
image.png

兼容性

兼容性属性定义了该模板兼容的证书颁发机构和证书接收人
image.png

请求处理

请求处理属性定义了证书的目的,以及该证书能否允许导出私钥等。
image.png

加密

加密属性定义了加密服务提供程序(CSP)和最小密钥大小。
image.png

用户模版

用户模板是默认的证书模板。如图所示,可以看到其扩展属性里有客户端身份验证,因此用户模板申请的证书可以用于 Kerberos 身份认证。
image.png
可以看到默认情况下 Domain Users 都有权限注册用户模板的证书。
image.png
使用 certipy 执行如下命令以普通用户 hack 权限申请注册一个用户模板的证书。

certipy req -u hack@tmac.com -p admin@123 -dc-ip 192.168.1.11 -target 192.168.1.12 -ca tmac-SERVER12-CA -template User -debug
certipy auth -pfx hack.pfx -dc-ip 192.168.1.11 -debug

image.png

计算机模版

计算机模板是默认的证书模板。如图所示,可以看到其扩展属性里有客户端身份验证,因此计算机模板申请的证书可以用于 Kerberos 身份认证。
image.png
可以看到默认情况下 Domain Computers 都有权限注册计算机模板的证书。
image.png
使用 certipy 执行如下命令以普通机器用户 machine$权限申请注册一个计算 机模板的证书。

certipy req -u machine\$ -p root -target 192.168.1.11 -ca tmac-SERVER12-CA -template Machine -debug
certipy auth -pfx machine.pfx -dc-ip 192.168.1.11 -debug

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/18832.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

前端知识1-4:性能优化进阶

性能优化进阶 Navigation Timing API navigationStart / end 表示从上一个文档卸载结束时 > 如果没有上一个文档,这个值和fetchStart相等 unloadEventStart / end 标识前一个网页unload的时间点 redirectStart / end 第一个http重定向发生和结束的时间 fetch…

Hadoop3:HDFS中DataNode与NameNode的工作流程

一、DataNode中的数据情况 数据位置 /opt/module/hadoop-3.1.3/data/dfs/data/current/BP-823420375-192.168.31.102-1714395693863/current/finalized/subdir0/subdir0块信息 每个块信息,由两个文件保存,xxx.meta保存的是数据长度、校验和、时间戳&am…

芝加哥大学最新研究:GPT-4与财务预测,重塑财务分析的未来

最近,芝加哥大学的研究团队发表了一篇突破性的研究,展示了大型语言模型(LLM),特别是 OpenAI 开发的 GPT-4,如何在财务报表分析领域取得了与专业分析师相匹配甚至超越的表现。这项研究不仅凸显了人工智能在高…

GDPU Java 天码行空13

(一)实验目的 1、掌握JAVA中与网络程序开发相关的知识点; 2、理解并掌握网络编程开发思想及方法; 3、熟悉项目开发的分包方法和依据; 4、实现聊天室中客服端和服务器端的实现方法; 5、熟悉多线程程序开发方…

Kinetix5700罗克韦尔AB伺服驱动器维修2198-D020-ERS3

Allen-Bradley罗克韦尔运动控制/伺服驱动器维修Kinetix 5700/Kinetix 6000/Kinetix 5500等系列电机驱动器/运动控制系统维修。 AB驱动器的控制接口有两种类型: 类型1:脉冲接口 类型2:模拟量接口 大部分小型PLC和伺服驱动器的链接方式都是开…

通过vlan实现同一网段下的网络隔离

现有两个电脑通过交换机直接连接在一起 pc1&#xff1a; pc2&#xff1a; 正常状态下是可以ping成功的 现在先进入交换机命令行界面&#xff0c;创建两个vlan <Huawei>system-view Enter system view, return user view with CtrlZ. [Huawei]vlan 10 [Huawei-vlan10…

2024年西安交通大学程序设计校赛

A题 签到题 代码如下 //A #include<iostream> #include<algorithm> #define int long long #define endl \n #define IOS ios::sync_with_stdio(0),cin.tie(0),cout.tie(0); using namespace std; signed main() {IOSint a,b,c,d;cin>>a>>b>>c…

二叉树介绍及堆

文章目录 树 概念及结构 二叉树 概念及结构 特殊的二叉树 完全二叉树 满二叉树 性质 储存 顺序存储 链式储存 堆 概念及结构 小堆 大堆 建堆 向上调整建堆 向下调整建堆 TOPK问题 法一&#xff1a; 法二&#xff1a; 树 概念及结构 树是一种非线性的数据…

解决word里加入mathtype公式后行间距变大

1.布局>页面设置>文档网格&#xff0c;网格栏选为无网格 2.固定间距

探索标准差与方差的奥秘

新书上架~&#x1f447;全国包邮奥~ python实用小工具开发教程http://pythontoolsteach.com/3 欢迎关注我&#x1f446;&#xff0c;收藏下次不迷路┗|&#xff40;O′|┛ 嗷~~ 目录 一、标准差与方差的基础理解 代码案例 二、标准差与方差的计算方法 方差的计算 标准差的…

QT——QSlider实现,QT滑动控件的使用

目录 简介滑动块调节两种方法滑动条触发信号量理想滑动块运用&#xff08;参考&#xff09; 简介 QT中滑动条的控件叫QSlider&#xff0c;继承自QAbstractSlider类。 主要用途是通过滑块的滑动的方式在一定范围内调节某个值。根据调节的后得到的结果去执行一些处理&#xff0c…

【AI基础】数据获取与整理、打标、增强方法、增强库imgaug

文章目录 常见的数据集网站爬虫工具使用搜索引起图片爬虫视频网站爬虫 数据整理数据检查和清洗数据去重数据集划分 数据标注数据标注工具 label studio 数据增强什么是数据增强单样本数据增强多样本数据增强样本生成方法数据增强imgaugimgaug 操作imgaug 使用 常见的数据集网站…

这款AI绘画软件,带你快速生成高质量产品效果图!

前言 随着人工智能技术的飞速发展&#xff0c;AI在设计领域的应用越来越广泛&#xff0c;。今天&#xff0c;介绍的一款能够自动生成高质量产品效果图的AI绘画软件——STARTAI。这款软件以其强大的功能和便捷的操作&#xff0c;正在重新定义电商产品效果图的制作流程。 AI局部…

RocketMQ .NET

RocketMQ 是一款由阿里巴巴集团开发并开源给Apache软件基金会的分布式消息及流处理平台。以其高吞吐量、低延迟、高可用性等特点而广受欢迎。支持Java&#xff0c;C, Python, Go, .NET等。 异步解耦&#xff1a;可以实现上游和下游业务系统的松耦合设计&#xff0c;使得服务部…

小红书图文笔记怎么做?纯干货!

小红书图文笔记的制作是一门艺术&#xff0c;它需要结合精美的图片和有价值的内容&#xff0c;以吸引和留住用户的注意力。伯乐网络传媒给大家分享制作小红书图文笔记的干货指南&#xff0c;包括准备、制作、发布和优化的各个环节。 一、准备阶段 确定目标受众&#xff1a;找到…

【NumPy】权威指南:使用NumPy的percentile函数进行百分位数计算

&#x1f9d1; 博主简介&#xff1a;阿里巴巴嵌入式技术专家&#xff0c;深耕嵌入式人工智能领域&#xff0c;具备多年的嵌入式硬件产品研发管理经验。 &#x1f4d2; 博客介绍&#xff1a;分享嵌入式开发领域的相关知识、经验、思考和感悟&#xff0c;欢迎关注。提供嵌入式方向…

研学活动报名二维码怎么制作?

在组织研学活动时&#xff0c;老师们经常面临报名流程繁琐、信息收集不全面、统计工作耗时等问题&#xff1f;如何高效地管理学生的报名信息&#xff0c;确保活动顺利进行呢&#xff1f; 现在我们有了更多的选择。老师们可以快速制作出研学活动的研学活动报名二维码怎么制作&am…

DETR整体模型结构解析

DETR流程 Backbone用卷积神经网络抽特征。最后通过一层1*1卷积转化到d_model维度fm&#xff08;B,d_model,HW&#xff09;。 position embedding建立跟fm维度相同的位置编码(B&#xff0c;d_model,HW&#xff09;。 Transformer Encoder,V为fm&#xff0c;K&#xff0c;Q为fm…

非量表题如何进行信效度分析

效度是指设计的题确实在测量某个东西&#xff0c;一般问卷中使用到。如果是量表类的数据&#xff0c;其一般是用因子分析这种方法去验证效度水平&#xff0c;其可通过因子分析探究各测量量表的内部结构情况&#xff0c;分析因子分析得到的内部结构与自己预期的内部结构进行对比…

大模型预训练结果到底是什么?

近日参加一个线下 AI 交流会议&#xff0c;会上有个非本行业的老师提问&#xff1a;“大家说的训练好的大模型到底是什么&#xff1f;是像 Word 软件一样可以直接使用的程序吗&#xff1f;” 这个问题看似简单&#xff0c;却一下把我问住了。的确&#xff0c;我们这些身处 AI 领…