内网安全之证书模版的管理

news2024/11/24 3:12:02

证书模板 Certificate templates 是 CA 证书颁发机构的一个组成部分,是证书策略中的重要元素,是用于证书注册、使用和管理的一组规则和格式。当 CA 收到对证书的请求时,必须对该请求应用一组规则和设置,以执行所请求的功能,例如证书颁发或更新。这些规则可以是简单的,也可以是复杂的,也可以适用于所有用户或特定的用户组。证书模板是在 CA 上配置并应用于传入证书请求的一组规则和设置。证书模板还向客户机提供了关于如何创建和提交有效的证书请求的说明。 基于证书模板的证书只能由企业 CA 颁发。这些模板存储在活动目录域服务(ADDS)中,以供林中的每个 CA 使用。这允许 CA 始终能够访问当前标准模板,并确保跨林一致的应用。
证书模板通过允许管理员发布已为选定任务预先配置的证书,可以大大简化管理证书颁发机构(CA)的任务。证书模板管理单元允许管理员执行以下任务:

  • 查看每个证书模板的属性
  • 复制和修改证书模板
  • 控制哪些用户和计算机可以读取模板并注册证书
  • 执行与证书模板相关的其他管理任务

证书模块的查看和修改

使用 certtmpl.msc 命令打开证书模板控制台,可以看到系统默认的证书模板
image.png
如果想查看或修改某个模板的属性,可以选中该模板,然后右键—>“属性 ®”进行查看。由于系统默认的模板绝大部分不可修改属性,因此使用这种方式查看的模板属性较少。我们可以通过复制模板操作来查看模板更多的属性,选中要查看属性的模板,右键—>“复制模板(U)”,会弹出新模板的属性配置窗口,在这个窗口可以查看模板全部的属性。如图所示,我们查看“域控制器身份验证”复制模板的属性。
image.png
如果想修改属性的值,可以直接修改,然后应用——>确定即可
不建议对系统默认的证书模板进行修改,如果想修改的话,建议先复制一个模板,然后再对其进行修改

复制证书模版

如果想要复制某个模板,可以选中该模板,然后右键——>复制模板(U)即可。
image.png
之后就可以在系统默认的末班中看到复制的模版了
image.png

证书模版的属性

使用者名称

使用者名称定义了如何构建证书的专有名称

  • 在请求中提供
  • 由来自请求证书的主体在活动目录中的信息来生成

如果是由来自请求证书的主体在活动目录中的信息来生成,其使用者名称的格式,有以下选项:

  • DNS 名称
  • 公用名
  • 完全可分辨名称

是否将这个信息包括在另一个使用者名称中,这里有四个复选框

  • 电子邮件名(E)
  • DNS 名(D)
  • 用户主体名称(UPN)(U)
  • 服务的主体名称(SPN)(V)

image.png

发布要求

发布要求属性定义了要申请证书需要哪些条件
如图所示,可以看到并未勾选“CA 证书管理程序批准©”选项。那么有注册证书权限的用户即可申请证书。
image.png
如果勾选了“CA 证书管理程序批准©”选项,会在证书模板 AD 对象的 msPKI-Enrollment-Flag 属性上设置 CT_FLAG_PEND_ALL_REQUESTS (0x2) 位。
image.png
这会将基于该模板的所有证书注册请求置于待处理状态(Pending Requests,在 certsrv.msc 的 “挂起的申请” 部分中可见),这需要证书管理员在颁发证书之前予以批准或拒绝。
发布要求中显示的第二组限制是 “授权签名的数量(H)”和 “应用程序策略”。 前者要求证书请求在证书被颁发之前由现有的授权证书进行数字签名,该设置就定义了 CSR 中 CA 接受的签名数量。后者定义了颁发证书所需的签名证书必须具有的 EKU OID。这些设置的常见用途是注册代理(Enrollment Agents),其表示可以代表其他用户请求证书的实体。为此,CA 必须向注册代理帐户颁发至少包含证书请求代理 EKU(OID 1.3.6.1.4.1.311.20.2.1)的证书。一旦颁发,注册代理就可以代表其他用户签署 CSR 并请求证书。而前面所说的 “授权签名的数量(H)” 就指定了在 CA 考虑颁发证书之前,注册代理必须签署 CSR 的数量是多少。
image.png

取代模版

取代模板属性定义了此模板颁发的证书会取代该属性中所有添加到这个列表的模板所颁发的证书。
image.png

扩展

扩展属性定义了该模板中包含的扩展。需要注意的是应用程序策略扩展,这个扩展决定了这个模板的用途,比如说智能卡登录、服务器身份验证、客户端身份验证等等。经过测试,应用程序策略中包含如下用途的证书可用于 Kerberos 身份认证:

  • 客户端身份验证,对应的 OID 为 1.3.6.1.5.5.7.3.2
  • PKINIT 客户端身份验证,对应的 OID 为 1.3.6.1.5.2.3.4,默认情况下,没有该 OID,需要手动添加
  • 智能卡登录,对应的 OID 为 1.3.6.1.4.1.311.20.2.2
  • 任何目的,对应的 OID 为 2.5.29.37.0
  • 子CA

此外,Specterops 发现可以滥用的另一个 EKU OID 是证书申请代理,对应 的 OID 为 1.3.6.1.4.1.311.20.2.1。除非设置了特定限制,否则具有此 OID 的证书可 用于代表其他用户申请证书
image.png

安全

安全属性也就是该证书模板的访问控制列表,定义了哪些对象对该模板有哪些权限,比如注册、读取、写入等权限。如图所示是域控制器身份验证模板的属性,可以看到普通用户只对其具有读取的属性。
image.png

常规

常规属性定义了证书的有效期和续订期
image.png

兼容性

兼容性属性定义了该模板兼容的证书颁发机构和证书接收人
image.png

请求处理

请求处理属性定义了证书的目的,以及该证书能否允许导出私钥等。
image.png

加密

加密属性定义了加密服务提供程序(CSP)和最小密钥大小。
image.png

用户模版

用户模板是默认的证书模板。如图所示,可以看到其扩展属性里有客户端身份验证,因此用户模板申请的证书可以用于 Kerberos 身份认证。
image.png
可以看到默认情况下 Domain Users 都有权限注册用户模板的证书。
image.png
使用 certipy 执行如下命令以普通用户 hack 权限申请注册一个用户模板的证书。

certipy req -u hack@tmac.com -p admin@123 -dc-ip 192.168.1.11 -target 192.168.1.12 -ca tmac-SERVER12-CA -template User -debug
certipy auth -pfx hack.pfx -dc-ip 192.168.1.11 -debug

image.png

计算机模版

计算机模板是默认的证书模板。如图所示,可以看到其扩展属性里有客户端身份验证,因此计算机模板申请的证书可以用于 Kerberos 身份认证。
image.png
可以看到默认情况下 Domain Computers 都有权限注册计算机模板的证书。
image.png
使用 certipy 执行如下命令以普通机器用户 machine$权限申请注册一个计算 机模板的证书。

certipy req -u machine\$ -p root -target 192.168.1.11 -ca tmac-SERVER12-CA -template Machine -debug
certipy auth -pfx machine.pfx -dc-ip 192.168.1.11 -debug

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1714644.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【创作活动】探索 GPT-4o:下一代语言模型的技术革命

😄 19年之后由于某些原因断更了三年,23年重新扬帆起航,推出更多优质博文,希望大家多多支持~ 🌷 古之立大事者,不惟有超世之才,亦必有坚忍不拔之志 🎐 个人CSND主页——Mi…

Thingsboard规则链:Customer Details节点详解

在物联网(IoT)平台Thingsboard的规则引擎体系中,Customer Details节点是一个功能强大的组件,它专为处理与客户(Customer)实体相关的综合信息而设计。这个节点不仅能够读取客户的基本属性,还能提…

VBA技术资料MF159:实现某个区域内的数据滚动

我给VBA的定义:VBA是个人小型自动化处理的有效工具。利用好了,可以大大提高自己的工作效率,而且可以提高数据的准确度。“VBA语言専攻”提供的教程一共九套,分为初级、中级、高级三大部分,教程是对VBA的系统讲解&#…

【微服务】springboot 构建docker镜像多模式使用详解

目录 一、前言 二、微服务常用的镜像构建方案 3.1 使用Dockerfile 3.2 使用docker plugin插件 3.3 使用docker compose 编排文件 三、环境准备 3.1 服务器 3.2 安装JDK环境 3.2.1 创建目录 3.2.2 下载安装包 3.2.3 配置环境变量 2.2.4 查看java版本 3.3 安装maven …

F. Longest Strike[双指针详解]

Longest Strike 题面翻译 给你一个长度为 n n n 的序列 a a a 和一个整数 k k k,你要求一个区间 [ l , r ] [l,r] [l,r] 满足: 对于任何整数 x ∈ [ l , r ] x∈[l,r] x∈[l,r], x x x 在 a a a 中的出现次数不少于 k k k 次。最大…

【Postman接口测试】第四节.Postman接口测试项目实战(上)

文章目录 前言一、项目介绍 1.1 项目界面功能介绍 1.2 项目测试接口介绍 1.3 项目测试接口流程二、HTTP协议三、接口测试中接口规范四、项目合同新增业务介绍 4.1 登录接口调试 4.1 登录接口自动关联 4.1 添加课程接口调试 4.1 上传合同…

排序(前篇)

1.排序的概念及其运用 2.插入排序的概念及实现 3.希尔排序的概念及实现 4.选择排序概念及实现 总代码(对比各个排序在大量的数据情况排序所化的时间): 1.排序的概念及其运用 1.1排序的概念 排序:所谓排序,就是使…

linux中逻辑卷管理与扩展

逻辑卷管理与扩展 逻辑卷 作用: 1.整合分散的空间2.空间支持扩大 逻辑卷制作过程:将众多的物理卷(PV)组建成卷组(VG),再从卷组中划分出逻辑卷(LV) 逻辑卷的逻辑思路 …

前端项目开发,3个HTTP请求工具

这一小节,我们介绍一下前端项目开发中,HTTP请求会用到的3个工具,分别是fetch、axios和js-tool-big-box中的jsonp请求。那么他们都有哪些小区别呢?我们一起来看一下。 目录 1 fetch 2 axios 3 js-tool-big-box 的 jsonp 请求 …

一个月速刷leetcodeHOT100 day13 二叉树结构 以及相关简单题

树是一种分层数据的抽象模型 二叉树 二叉树中的节点最多只能有两个子节点,一个是左侧子节点,另一个是右侧子节点 二叉搜索树 二叉搜索树(BST)是二叉树的一种,但是只允许你在左侧节点存储(比父节点&…

扎气球最高分-第13届蓝桥杯选拔赛Python真题精选

[导读]:超平老师的Scratch蓝桥杯真题解读系列在推出之后,受到了广大老师和家长的好评,非常感谢各位的认可和厚爱。作为回馈,超平老师计划推出《Python蓝桥杯真题解析100讲》,这是解读系列的第74讲。 扎气球最高分&…

IntelliJ IDEA内置自带Maven的使用注意事项

一、内置自带Maven的位置 IDEA中是有自带Maven的,虽然可能不够个性化,不太好用,但是如果知道怎么设置,还是能自定义一点的。它作为IDEA的自带插件,位置在IDEA所在目录的“\plugins\plugins\maven\lib\maven3\”文件夹中。 二、本地仓库位置 因为Maven主要功能就是统一下…

MoE模型大火,源2.0-M32诠释“三个臭皮匠,顶个诸葛亮”!

文 | 智能相对论 作者 | 陈泊丞 近半年来,MoE混合专家大模型彻底是火了。 在海外,OpenAI的GPT-4、谷歌的Gemini、Mistral AI的Mistral、xAI的Grok-1等主流大模型都采用了MoE架构。而在国内,浪潮信息也刚刚发布了基于MoE架构的“源2.0-M3…

无人机操作界面来了,起点就很高呀。

无人机操作界面设计需要考虑以下几个方面: 易用性:无人机操作界面应该简单直观,易于操作和理解。操作按钮和控键应该布局合理,易于触摸或点击。重要的操作功能应该易于找到和使用,避免用户迷失或困惑。实时反馈&#…

【Uniapp微信小程序】自定义水印相机、微信小程序地点打卡相机

效果图 template 下方的image图片自行寻找替换! <template><view><camerav-if="!tempImagePath && cameraHeight !== 0":resolution="high":frame-size="large":device-position="device":flash="flas…

RAID配置实战

概念 raid磁盘阵列&#xff1a;可以用不同的硬盘分区&#xff0c;组成一个逻辑上的硬盘。具有高可用 raid级别&#xff1a; raid0 &#xff1a;条带化存储&#xff1a;数据分散在多个物理硬盘上的存储方式。利用多个磁盘并行读取和写入。存储性能和读写性能是最好的。没有冗…

朗读亭主要作用有哪些?

朗读亭的主要作用有以下几个方面&#xff1a; 1. 提供朗读服务&#xff1a;朗读亭是一个专门的场所&#xff0c;提供给人们朗读的环境和场地。人们可以在朗读亭中选择自己喜欢的书籍或文章&#xff0c;并通过朗读将其表达出来。这样可以帮助人们提高朗读能力&#xff0c;增强自…

【C语言训练题库】杨辉三角(下三角型和金字塔型)

&#x1f525;博客主页&#x1f525;&#xff1a;【 坊钰_CSDN博客 】 欢迎各位点赞&#x1f44d;评论✍收藏⭐ 目录 题目&#xff1a;打印杨辉三角 1. 下三角型 1.1 图例: 1.2. 解析: 1.3. 代码: 1.4. 运行&#xff1a; 2. 金字塔型 2.1 图例 2.2. 解析 2.2.1. 打印金…

[猫头虎分享21天微信小程序基础入门教程]第21天:小程序的社交分享与消息推送

[猫头虎分享21天微信小程序基础入门教程]第21天&#xff1a;小程序的社交分享与消息推送 第21天&#xff1a;小程序的社交分享与消息推送 &#x1f4f2; 自我介绍 大家好&#xff0c;我是猫头虎&#xff0c;一名全栈软件工程师。今天我们继续微信小程序的学习&#xff0c;重…

买入看跌期权怎么理解?

今天带你了解买入看跌期权怎么理解&#xff1f;看跌期权买入者往往预期市场价格将下跌。 买入看跌期权怎么理解&#xff1f; 买入看跌期权是指购买者支付权利金&#xff0c;获得以特定价格向期权出售者卖出一定数量的某种特定商品的权利。看跌期权买入者往往预期市场价格将下跌…