Среда Windows, приложение ADCS и .Net.
При наличии сертификата в атрибуте Issuer можно найти общее имя CA (например, «My Issuing CA»), но не имя хоста (issca)..example.com).
Как получить имя хоста, чтобы создать строку конфигурации "issca.example.com \ My Issuing CA"?Это исключительно из поиска LDAP (из Служб / Служб открытых ключей / Центров сертификации) или есть другие способы?
Что если со временем вы обновили свой ЦС (сохранив его общее имя, но изменили имя хоста)сказать newca), всегда ли можно найти "newca.example.com \ My Issuing CA" или также "issca.example.com \ My Issuing CA", например, для сертификатов, выпущенных до обновления?
У нас естьприложение, которое делает именно это (попробуйте RPC к старому имени хоста, который исчез из сети).Мы «исправили» это, добавив DNS CNAME для issca, чтобы он указывал на newca, а также добавили имена SPN старого хоста к новому.Мы подозреваем, что само приложение сохраняет регистрацию того, какой сертификат был выдан на каком хосте, но поставщик отрицает это.
(И да - это является сценарием, поддерживаемым Microsoft, для изменения имени хоста, когдаобновление / миграция CA документы Microsoft