内网安全之证书模版的管理

最新推荐文章于 2025-02-21 16:54:50 发布
最新推荐文章于 2025-02-21 16:54:50 发布
阅读量1.5k 收藏 14
点赞数 7
文章标签: 安全 内网安全 证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45910629/article/details/139304602
版权

证书模板 Certificate templates 是 CA 证书颁发机构的一个组成部分,是证书策略中的重要元素,是用于证书注册、使用和管理的一组规则和格式。当 CA 收到对证书的请求时,必须对该请求应用一组规则和设置,以执行所请求的功能,例如证书颁发或更新。这些规则可以是简单的,也可以是复杂的,也可以适用于所有用户或特定的用户组。证书模板是在 CA 上配置并应用于传入证书请求的一组规则和设置。证书模板还向客户机提供了关于如何创建和提交有效的证书请求的说明。 基于证书模板的证书只能由企业 CA 颁发。这些模板存储在活动目录域服务(ADDS)中,以供林中的每个 CA 使用。这允许 CA 始终能够访问当前标准模板,并确保跨林一致的应用。
证书模板通过允许管理员发布已为选定任务预先配置的证书,可以大大简化管理证书颁发机构(CA)的任务。证书模板管理单元允许管理员执行以下任务:

  • 查看每个证书模板的属性
  • 复制和修改证书模板
  • 控制哪些用户和计算机可以读取模板并注册证书
  • 执行与证书模板相关的其他管理任务

证书模块的查看和修改

使用 certtmpl.msc 命令打开证书模板控制台,可以看到系统默认的证书模板
image.png
如果想查看或修改某个模板的属性,可以选中该模板,然后右键—>“属性 ®”进行查看。由于系统默认的模板绝大部分不可修改属性,因此使用这种方式查看的模板属性较少。我们可以通过复制模板操作来查看模板更多的属性,选中要查看属性的模板,右键—>“复制模板(U)”,会弹出新模板的属性配置窗口,在这个窗口可以查看模板全部的属性。如图所示,我们查看“域控制器身份验证”复制模板的属性。
image.png
如果想修改属性的值,可以直接修改,然后应用——>确定即可
不建议对系统默认的证书模板进行修改,如果想修改的话,建议先复制一个模板,然后再对其进行修改

复制证书模版

如果想要复制某个模板,可以选中该模板,然后右键——>复制模板(U)即可。
image.png
之后就可以在系统默认的末班中看到复制的模版了
image.png

证书模版的属性

使用者名称

使用者名称定义了如何构建证书的专有名称

  • 在请求中提供
  • 由来自请求证书的主体在活动目录中的信息来生成

如果是由来自请求证书的主体在活动目录中的信息来生成,其使用者名称的格式,有以下选项:

  • DNS 名称
  • 公用名
  • 完全可分辨名称

是否将这个信息包括在另一个使用者名称中,这里有四个复选框

  • 电子邮件名(E)
  • DNS 名(D)
  • 用户主体名称(UPN)(U)
  • 服务的主体名称(SPN)(V)

image.png

发布要求

发布要求属性定义了要申请证书需要哪些条件
如图所示,可以看到并未勾选“CA 证书管理程序批准©”选项。那么有注册证书权限的用户即可申请证书。
image.png
如果勾选了“CA 证书管理程序批准©”选项,会在证书模板 AD 对象的 msPKI-Enrollment-Flag 属性上设置 CT_FLAG_PEND_ALL_REQUESTS (0x2) 位。
image.png
这会将基于该模板的所有证书注册请求置于待处理状态(Pending Requests,在 certsrv.msc 的 “挂起的申请” 部分中可见),这需要证书管理员在颁发证书之前予以批准或拒绝。
发布要求中显示的第二组限制是 “授权签名的数量(H)”和 “应用程序策略”。 前者要求证书请求在证书被颁发之前由现有的授权证书进行数字签名,该设置就定义了 CSR 中 CA 接受的签名数量。后者定义了颁发证书所需的签名证书必须具有的 EKU OID。这些设置的常见用途是注册代理(Enrollment Agents),其表示可以代表其他用户请求证书的实体。为此,CA 必须向注册代理帐户颁发至少包含证书请求代理 EKU(OID 1.3.6.1.4.1.311.20.2.1)的证书。一旦颁发,注册代理就可以代表其他用户签署 CSR 并请求证书。而前面所说的 “授权签名的数量(H)” 就指定了在 CA 考虑颁发证书之前,注册代理必须签署 CSR 的数量是多少。
image.png

取代模版

取代模板属性定义了此模板颁发的证书会取代该属性中所有添加到这个列表的模板所颁发的证书。
image.png

扩展

扩展属性定义了该模板中包含的扩展。需要注意的是应用程序策略扩展,这个扩展决定了这个模板的用途,比如说智能卡登录、服务器身份验证、客户端身份验证等等。经过测试,应用程序策略中包含如下用途的证书可用于 Kerberos 身份认证:

  • 客户端身份验证,对应的 OID 为 1.3.6.1.5.5.7.3.2
  • PKINIT 客户端身份验证,对应的 OID 为 1.3.6.1.5.2.3.4,默认情况下,没有该 OID,需要手动添加
  • 智能卡登录,对应的 OID 为 1.3.6.1.4.1.311.20.2.2
  • 任何目的,对应的 OID 为 2.5.29.37.0
  • 子CA

此外,Specterops 发现可以滥用的另一个 EKU OID 是证书申请代理,对应 的 OID 为 1.3.6.1.4.1.311.20.2.1。除非设置了特定限制,否则具有此 OID 的证书可 用于代表其他用户申请证书
image.png

安全

安全属性也就是该证书模板的访问控制列表,定义了哪些对象对该模板有哪些权限,比如注册、读取、写入等权限。如图所示是域控制器身份验证模板的属性,可以看到普通用户只对其具有读取的属性。
image.png

常规

常规属性定义了证书的有效期和续订期
image.png

兼容性

兼容性属性定义了该模板兼容的证书颁发机构和证书接收人
image.png

请求处理

请求处理属性定义了证书的目的,以及该证书能否允许导出私钥等。
image.png

加密

加密属性定义了加密服务提供程序(CSP)和最小密钥大小。
image.png

用户模版

用户模板是默认的证书模板。如图所示,可以看到其扩展属性里有客户端身份验证,因此用户模板申请的证书可以用于 Kerberos 身份认证。
image.png
可以看到默认情况下 Domain Users 都有权限注册用户模板的证书。
image.png
使用 certipy 执行如下命令以普通用户 hack 权限申请注册一个用户模板的证书。

certipy req -u hack@tmac.com -p admin@123 -dc-ip 192.168.1.11 -target 192.168.1.12 -ca tmac-SERVER12-CA -template User -debug
certipy auth -pfx hack.pfx -dc-ip 192.168.1.11 -debug

image.png

计算机模版

计算机模板是默认的证书模板。如图所示,可以看到其扩展属性里有客户端身份验证,因此计算机模板申请的证书可以用于 Kerberos 身份认证。
image.png
可以看到默认情况下 Domain Computers 都有权限注册计算机模板的证书。
image.png
使用 certipy 执行如下命令以普通机器用户 machine$权限申请注册一个计算 机模板的证书。

certipy req -u machine\$ -p root -target 192.168.1.11 -ca tmac-SERVER12-CA -template Machine -debug
certipy auth -pfx machine.pfx -dc-ip 192.168.1.11 -debug
Tmac自留
关注
红队内网攻防渗透:内网渗透之内网各种工具平台的使用
HACKONE的博客
04-10 983
红队内网攻防渗透内网各种工具平台的使用 内网各种工具平台的使用
Vue + Asp.NET调试时出现的证书问题 (OpenSSL)
包子的博客
06-12 1270
今天调试之前的项目突然之间提示证书过期,每次刷新界面都要手动点一下,非常难受.因为当时没有截图,这里网上找一张图片,我的是localhost,每次刷新都需要点击继续访问,在这里记录一下解决过程.
内网证书
03-22
NULL 博文链接:https://san-yun.iteye.com/blog/900950
域环境下的证书模板
anddddoooo的博客
02-21 771
是一种用于定义证书属性和行为的预配置模板。它决定了证书在域环境下的配置。:管理员可以通过模板快速创建满足特定需求的证书。:确保所有颁发的证书遵循统一的配置。:通过模板限定哪些用户或设备可以申请证书,以及证书的用途。管理员可以对证书模板执行以下操作:查看每个证书模板的属性。复制和修改证书模板。控制哪些用户和计算机可以使用此模板注册证书。其他。
内部 CA 证书管理
偶尔记一下 - mybatis.io
05-28 2631
内部 CA 证书管理 生成 CA 证书 # 生成 KEY openssl genrsa -out ca.key 4096 # 生成证书 openssl req -x509 -new -nodes -sha512 -days 3650 \ -subj "/C=CN/ST=省/L=市/O=组织/OU=组织单位/CN=常用名(或域名)" \ -key ca.key \ -out ca.crt 内部人员需要把该 ca.crt 证书添加到受信任的根证书中,Windows 运行输入 certm
内网证书导入
mpxsq的专栏
06-26 293
  ubuntu升级后原有firefox下的证书不可用,需要将虚拟机xp下的ie证书导入到ubuntu下。遇到了些问题 1.忘记主密码,需要重置利用主密码功能,您可以保护您在计算机上保存的所有网站密码。如果您忘记了主密码,您可以将其重置。注意:重置主密码会导致您丢失所有已保存的网站用户名和密码。在Firefox地址栏中输入:chrome://pippki/content/resetpasswo...
证书管理机构——CA(Certificate Authority)
热门推荐
司马懿的西山居
07-08 1万+
CA(Certificate Authority) 电子签证机关(即CA)。CA也拥有一个证书(内含公钥),当然,它也有自己的私钥,所以它有签字的能力。网上的公众用户通过验证CA的签字从而信任CA,任何人都应该可以得到CA的证书(含公钥),用以验证它所签发的证书。 CA除了签发证书之外,它的另一个重要作用是证书和密钥的管理
5、极地内网内控安全管理系统(内控堡垒主机)-操作手册-V31112.docx
09-30
### 极地内网内控安全管理系统(内控堡垒主机)关键知识点解析 #### 一、系统概述 **极地内网内控安全管理系统**是一款专门针对企业内部网络设计的安全管理平台,它集成了多种安全功能和服务,旨在保护企业内部...
华为赛门铁克TSM终端安全管理系统.docx
06-05
### 华为赛门铁克TSM终端安全管理系统知识点解析 #### 一、背景与挑战 随着企业网络规模不断扩大,分支机构、移动办公以及访客等因素导致网络中的接入点增多,进而使得网络漏洞数量显著增加。专业黑客往往利用这些...
安全保障方案模板.pdf
11-01
总体设计思路借鉴了国家电子政务内网的建设模型,通过整合传输链路安全、集中授权、身份认证和信息安全交换,为应用层提供安全的信息交换服务。采用公钥证书认证体系,通过“邮箱”式的文件交换机制,实现数据源之间...
CA系统白皮书-CA证书管理系统
12-08
CA系统白皮书。实现数字证书(即网络中的个人虚拟身份证)的发放和管理。本系统所发放的数字证书用于各种应用系统的身份认证、操作的电子签名、数据的加密。
护网面试题总结+安全工程师笔试问题
01-06
【网络安全工程师面试题总结】 1. JNI函数命名规则:Java中的函数名com.didi.security.main在C中的对应函数名应该是`com_didi_security_main`,遵循JNI的命名规范。 2. Frida和Xposed框架:Frida是一个动态代码...
内网安全之注册和查看证书
weixin_45910629的博客
05-30 1189
如图所示,是 Will Schroeder 和 Lee Christensen 发布的 Certified_Pre-Owned 白皮书里面画的证书注册流程: 从图中我们可以看到,证书注册流程如下:不同模板证书具有不同的权限,查看证书模板安全属性,可以看到不同主体对其具有的权限。比如完全控制权限、读取权限、写入权限、注册权限等。 如下是计算机证书模板的属性,可以看到域内所有机器都对其具有注册权限。 如下是用户证书模板的属性,可以看到域内所有用户都对其具有注册权限。 客户端可以根据ADCS环境的配置选择
内网创建https网站的SSL证书、代码签名证书
苹果2008的博客
03-18 7836
本文重点讲解使用同一根证书,分别制作网站https的SSL证书、VSTO的代码签名证书,制作环境为安装了vs 2022的windows10、安装了openssl的centos7。 一、制作根证书
ssl证书(https/wss)内网测试
yunteng521的博客
01-04 1800
ssl证书(https/wss)内网测试 pkcs1 pkcs8 pkcs12
内网数字证书的生成与使用
Martin的专栏
04-27 2036
个人数字证书使用详解
如何创建和管理CA证书
weixin_33834137的博客
09-18 481
前言:数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中,使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对(公钥和私钥)所有者的识别信息,通过验证识别信息的真伪实现对证书持有者身份的认证。一、CA证书的创建创建所需要的文件,下面两文件系统自动没有创建1.生成证书索引数据库文件touch /etc/pki/CA/index.txt...
局域网使用自签名https(SSL)证书
sinco25的博客
05-06 3241
局域网内搭建https web服务器,没有域名,但又必须使用https访问,可使用自签名SSL证书,然后部署到web容器中即可。初次访问时大多数浏览器会提示些网站或证书安全,不用管他,点“仍然访问”之类的就行。
AD规则设置
最新发布
04-03
<think>好的,我需要帮助用户了解如何进行Active Directory的规则配置。首先,用户提到的引用内容里提到了组策略、域控制器搭建和混合DNS等内容,这些都是AD规则设置的重要部分。我需要结合这些引用信息,整理出一个结构清晰的教程。 首先,我应该从准备工作开始,确保用户已经部署了AD域控制器,如引用[2]所述。然后,进入组策略管理,引用[1]提到通过组策略管理安全设置,比如密码策略,这可以作为配置规则的核心部分。需要分步骤说明如何打开组策略管理控制台,创建或编辑GPO,并配置具体的策略,比如密码策略、账户锁定策略等。 接下来,用户管理部分也很重要,引用[2]提到了用户和组管理,这里需要指导用户如何创建OU,设置权限,可能涉及委派控制,确保安全组的使用。然后,安全策略配置可以引用[1]中的本地账户密码设置,扩展到其他安全策略如软件限制、防火墙设置。 访问控制方面,需要说明如何设置文件和文件夹权限,可能结合NTFS权限和共享权限。高级规则如站点和服务配置可能涉及引用[3]中的混合DNS设置,这里可能需要指导用户配置DNS策略和复制拓扑。 验证和测试部分要强调测试GPO应用情况,使用命令行工具验证策略生效。最后,维护建议包括定期备份GPO,监控日志,以及更新策略。 相关问题部分,需要根据教程内容生成自然的问题,比如组策略配置步骤、安全策略最佳实践、权限委派方法等。确保每个问题都覆盖教程中的关键点,帮助用户进一步学习。 需要注意所有技术术语准确,步骤清晰,并且引用对应的来源。同时,按照用户要求,数学公式用$...$,独立公式用$$...$$,但在这个问题中可能用不上数学公式,所以可能不需要。最后检查LaTeX语法是否正确,使用中文回答,结构符合要求。</think>### Active Directory规则配置教程 #### 一、准备工作 1. 确保已部署Active Directory域控制器(参考引用[2]) 2. 安装并配置AD管理工具: - 服务器管理器添加「Active Directory管理中心」 - 安装「组策略管理控制台(GPMC)」 #### 二、组策略配置(核心规则设置) **步骤1:打开组策略管理** ```powershell gpmc.msc ``` 通过此控制台管理域级/OU级策略[^1] **步骤2:创建/编辑GPO** 1. 右击目标组织单位(OU)选择「创建GPO」 2. 命名规则建议:`[作用范围]_[功能]_V1.0`(如`Domain_PasswordPolicy_V1.0`) **步骤3:配置密码策略(示例)** ``` 计算机配置 > 策略 > Windows设置 > 安全设置 > 账户策略 ``` - 密码最短使用期限:1天 - 密码最长使用期限:90天 - 强制密码历史:5个记住的密码 $$ T_{expire} = \frac{N_{max}}{N_{change}} \quad (\text{密码时效计算公式}) $$ #### 三、用户与组管理规则 1. **组织单位(OU)设计**: - 按部门创建层级结构(如`公司/部门/岗位`) - 设置继承阻断规则 2. **权限委派**: ```powershell dsac.exe ``` 通过AD管理中心配置委派控制向导,设置「修改组成员」等细粒度权限[^2] #### 四、安全策略配置 1. 账户锁定策略: - 阈值:5次无效登录 - 锁定时间:30分钟 - 重置间隔:60分钟 2. 软件限制策略: ```powershell 计算机配置 > 策略 > Windows设置 > 安全设置 ``` #### 五、访问控制规则 1. 文件服务器权限设置: - 结合NTFS权限与共享权限 - 使用安全组进行权限分配 2. 打印机访问规则: ``` 用户配置 > 策略 > 控制面板 > 打印机 ``` #### 六、高级规则配置 1. 站点和服务配置: - 配置子网与站点的关联 - 设置复制计划(引用[3]混合DNS配置) 2. 证书服务规则: ```powershell certtmpl.msc ``` 配置证书自动注册策略 #### 七、验证与测试 1. 使用`gpresult /r`验证策略应用 2. 测试账户锁定功能 3. 检查事件查看器的策略应用日志 #### 八、维护建议 1. 定期备份GPO: ```powershell Backup-GPO -All -Path \\backup\gpo ``` 2. 使用进阶工具: - AGPM(高级组策略管理) - PowerShell AD模块
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值