AD CS Domain Escalation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
рдпрд╣ рдкрджреЛрдВ рдХреЗ рдЙрддреНрдерд╛рди рддрдХрдиреАрдХ рдЕрдиреБрднрд╛рдЧреЛрдВ рдХрд╛ рд╕рд╛рд░рд╛рдВрд╢ рд╣реИ:
Enterprise CA рджреНрд╡рд╛рд░рд╛ рдирд┐рдореНрди-рд╡рд┐рд╢рд┐рд╖реНрдЯ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рдирд╛рдорд╛рдВрдХрди рдЕрдзрд┐рдХрд╛рд░ рджрд┐рдП рдЬрд╛рддреЗ рд╣реИрдВред
рдкреНрд░рдмрдВрдзрдХ рдХреА рд╕реНрд╡реАрдХреГрддрд┐ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдирд╣реАрдВ рд╣реИред
рдЕрдзрд┐рдХреГрдд рд╡реНрдпрдХреНрддрд┐рдпреЛрдВ рд╕реЗ рдХреЛрдИ рд╣рд╕реНрддрд╛рдХреНрд╖рд░ рдЖрд╡рд╢реНрдпрдХ рдирд╣реАрдВ рд╣реИрдВред
рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯреНрд╕ рдкрд░ рд╕реБрд░рдХреНрд╖рд╛ рд╡рд┐рд╡рд░рдг рдЕрддреНрдпрдзрд┐рдХ рдЕрдиреБрдорддрд┐ рджреЗрдиреЗ рд╡рд╛рд▓реЗ рд╣реИрдВ, рдЬреЛ рдирд┐рдореНрди-рд╡рд┐рд╢рд┐рд╖реНрдЯ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рдирд╛рдорд╛рдВрдХрди рдЕрдзрд┐рдХрд╛рд░ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддреЗ рд╣реИрдВред
рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯреНрд╕ рдХреЛ EKUs рдХреЛ рдкрд░рд┐рднрд╛рд╖рд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ рдЬреЛ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХреЛ рд╕реБрд╡рд┐рдзрд╛рдЬрдирдХ рдмрдирд╛рддреЗ рд╣реИрдВ:
Extended Key Usage (EKU) рдкрд╣рдЪрд╛рдирдХрд░реНрддрд╛ рдЬреИрд╕реЗ Client Authentication (OID 1.3.6.1.5.5.7.3.2), PKINIT Client Authentication (1.3.6.1.5.2.3.4), Smart Card Logon (OID 1.3.6.1.4.1.311.20.2.2), Any Purpose (OID 2.5.29.37.0), рдпрд╛ рдХреЛрдИ EKU (SubCA) рд╢рд╛рдорд┐рд▓ рд╣реИрдВред
рдкреНрд░рдорд╛рдгрдкрддреНрд░ рд╣рд╕реНрддрд╛рдХреНрд╖рд░ рдЕрдиреБрд░реЛрдз (CSR) рдореЗрдВ subjectAltName рд╢рд╛рдорд┐рд▓ рдХрд░рдиреЗ рдХреА рдХреНрд╖рдорддрд╛ рдЯреЗрдореНрдкрд▓реЗрдЯ рджреНрд╡рд╛рд░рд╛ рдЕрдиреБрдорддрд┐ рджреА рдЧрдИ рд╣реИ:
Active Directory (AD) рдкрд╣рдЪрд╛рди рд╕рддреНрдпрд╛рдкрди рдХреЗ рд▓рд┐рдП рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдореЗрдВ subjectAltName (SAN) рдХреЛ рдкреНрд░рд╛рдердорд┐рдХрддрд╛ рджреЗрддрд╛ рд╣реИ рдпрджрд┐ рдпрд╣ рдореМрдЬреВрдж рд╣реИред рдЗрд╕рдХрд╛ рдорддрд▓рдм рд╣реИ рдХрд┐ CSR рдореЗрдВ SAN рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рдХреЗ, рдХрд┐рд╕реА рднреА рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ (рдЬреИрд╕реЗ, рдПрдХ рдбреЛрдореЗрди рдкреНрд░рд╢рд╛рд╕рдХ) рдХрд╛ рдЕрдиреБрдХрд░рдг рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЕрдиреБрд░реЛрдз рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдпрд╣ рд╕рдВрдХреЗрдд рджрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ рдХрд┐ рдХреНрдпрд╛ рдЕрдиреБрд░реЛрдзрдХрд░реНрддрд╛ рджреНрд╡рд╛рд░рд╛ SAN рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯ рдХреЗ AD рдСрдмреНрдЬреЗрдХреНрдЯ рдореЗрдВ mspki-certificate-name-flag
рдкреНрд░реЙрдкрд░реНрдЯреА рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗред рдпрд╣ рдкреНрд░реЙрдкрд░реНрдЯреА рдПрдХ рдмрд┐рдЯрдорд╛рд╕реНрдХ рд╣реИ, рдФрд░ CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT
рдзреНрд╡рдЬ рдХреА рдЙрдкрд╕реНрдерд┐рддрд┐ рдЕрдиреБрд░реЛрдзрдХрд░реНрддрд╛ рджреНрд╡рд╛рд░рд╛ SAN рдХреЗ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддреА рд╣реИред
рдпрд╣ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдирд┐рдореНрди-рд╡рд┐рд╢рд┐рд╖реНрдЯ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рдХрд┐рд╕реА рднреА рдкрд╕рдВрдж рдХреЗ SAN рдХреЗ рд╕рд╛рде рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЕрдиреБрд░реЛрдз рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ, рдЬреЛ Kerberos рдпрд╛ SChannel рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдХрд┐рд╕реА рднреА рдбреЛрдореЗрди рдкреНрд░рд┐рдВрд╕рд┐рдкрд▓ рдХреЗ рд░реВрдк рдореЗрдВ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рд╕рдХреНрд╖рдо рдХрд░рддрд╛ рд╣реИред
рдпрд╣ рд╕реБрд╡рд┐рдзрд╛ рдХрднреА-рдХрднреА HTTPS рдпрд╛ рд╣реЛрд╕реНрдЯ рдкреНрд░рдорд╛рдгрдкрддреНрд░реЛрдВ рдХреЗ рддрд╛рддреНрдХрд╛рд▓рд┐рдХ рдирд┐рд░реНрдорд╛рдг рдХрд╛ рд╕рдорд░реНрдерди рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЙрддреНрдкрд╛рджреЛрдВ рдпрд╛ рддреИрдирд╛рддреА рд╕реЗрд╡рд╛рдУрдВ рджреНрд╡рд╛рд░рд╛ рд╕рдХреНрд╖рдо рдХреА рдЬрд╛рддреА рд╣реИ, рдпрд╛ рд╕рдордЭ рдХреА рдХрдореА рдХреЗ рдХрд╛рд░рдгред
рдпрд╣ рдиреЛрдЯ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ рдХрд┐ рдЗрд╕ рд╡рд┐рдХрд▓реНрдк рдХреЗ рд╕рд╛рде рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдмрдирд╛рдиреЗ рдкрд░ рдПрдХ рдЪреЗрддрд╛рд╡рдиреА рдЙрддреНрдкрдиреНрди рд╣реЛрддреА рд╣реИ, рдЬреЛ рддрдм рдирд╣реАрдВ рд╣реЛрддреА рдЬрдм рдПрдХ рдореМрдЬреВрджрд╛ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯ (рдЬреИрд╕реЗ WebServer
рдЯреЗрдореНрдкрд▓реЗрдЯ, рдЬрд┐рд╕рдореЗрдВ CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT
рд╕рдХреНрд╖рдо рд╣реИ) рдХреЛ рдбреБрдкреНрд▓рд┐рдХреЗрдЯ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рдФрд░ рдлрд┐рд░ рдкреНрд░рдорд╛рдгреАрдХрд░рдг OID рд╢рд╛рдорд┐рд▓ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╕рдВрд╢реЛрдзрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред
рдХрдордЬреЛрд░ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯреНрд╕ рдЦреЛрдЬрдиреЗ рдХреЗ рд▓рд┐рдП рдЖрдк рдЪрд▓рд╛ рд╕рдХрддреЗ рд╣реИрдВ:
рдЗрд╕ рдХрдордЬреЛрд░реА рдХрд╛ рджреБрд░реБрдкрдпреЛрдЧ рдХрд░рдХреЗ рдПрдХ рдкреНрд░рд╢рд╛рд╕рдХ рдХреА рдирдХрд▓ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХреЛрдИ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдЪрд▓рд╛ рд╕рдХрддрд╛ рд╣реИ:
рдлрд┐рд░ рдЖрдк рдЙрддреНрдкрдиреНрди рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХреЛ .pfx
рдкреНрд░рд╛рд░реВрдк рдореЗрдВ рдкрд░рд┐рд╡рд░реНрддрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рдЗрд╕реЗ Rubeus рдпрд╛ certipy рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдлрд┐рд░ рд╕реЗ рдкреНрд░рдорд╛рдгрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:
The Windows binaries "Certreq.exe" & "Certutil.exe" can be used to generate the PFX: https://gist.github.com/b4cktr4ck2/95a9b908e57460d9958e8238f85ef8ee
AD Forest рдХреЗ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рд╕реНрдХреАрдорд╛ рдХреЗ рднреАрддрд░ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯреНрд╕ рдХреА рдЧрдгрдирд╛, рд╡рд┐рд╢реЗрд╖ рд░реВрдк рд╕реЗ рд╡реЗ рдЬреЛ рдЕрдиреБрдореЛрджрди рдпрд╛ рд╣рд╕реНрддрд╛рдХреНрд╖рд░реЛрдВ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдирд╣реАрдВ рд░рдЦрддреЗ рд╣реИрдВ, рдЬрд┐рдирдореЗрдВ Client Authentication рдпрд╛ Smart Card Logon EKU рд╣реИ, рдФрд░ рдЬрд┐рдирдореЗрдВ CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT
рдзреНрд╡рдЬ рд╕рдХреНрд╖рдо рд╣реИ, рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд LDAP рдХреНрд╡реЗрд░реА рдЪрд▓рд╛рдХрд░ рдХреА рдЬрд╛ рд╕рдХрддреА рд╣реИ:
рджреВрд╕рд░рд╛ рджреБрд░реБрдкрдпреЛрдЧ рдкрд░рд┐рджреГрд╢реНрдп рдкрд╣рд▓реЗ рд╡рд╛рд▓реЗ рдХрд╛ рдПрдХ рд░реВрдкрд╛рдВрддрд░ рд╣реИ:
Enterprise CA рджреНрд╡рд╛рд░рд╛ рдирд┐рдореНрди-рд╡рд┐рд╢рд┐рд╖реНрдЯ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рдирд╛рдорд╛рдВрдХрди рдЕрдзрд┐рдХрд╛рд░ рджрд┐рдП рдЬрд╛рддреЗ рд╣реИрдВред
рдкреНрд░рдмрдВрдзрдХ рдХреА рд╕реНрд╡реАрдХреГрддрд┐ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдХреЛ рдЕрдХреНрд╖рдо рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред
рдЕрдзрд┐рдХреГрдд рд╣рд╕реНрддрд╛рдХреНрд╖рд░реЛрдВ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдХреЛ рдЫреЛрдбрд╝ рджрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред
рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯ рдкрд░ рдПрдХ рдЕрддреНрдпрдзрд┐рдХ рдЕрдиреБрдорддрд┐ рджреЗрдиреЗ рд╡рд╛рд▓рд╛ рд╕реБрд░рдХреНрд╖рд╛ рд╡рд░реНрдгрдирдХрд░реНрддрд╛ рдирд┐рдореНрди-рд╡рд┐рд╢рд┐рд╖реНрдЯ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдирд╛рдорд╛рдВрдХрди рдЕрдзрд┐рдХрд╛рд░ рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИред
рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯ рдХреЛ Any Purpose EKU рдпрд╛ рдХреЛрдИ EKU рд╢рд╛рдорд┐рд▓ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдкрд░рд┐рднрд╛рд╖рд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред
Any Purpose EKU рдПрдХ рд╣рдорд▓рд╛рд╡рд░ рдХреЛ рдХрд┐рд╕реА рднреА рдЙрджреНрджреЗрд╢реНрдп рдХреЗ рд▓рд┐рдП рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ, рдЬрд┐рд╕рдореЗрдВ рдХреНрд▓рд╛рдЗрдВрдЯ рдкреНрд░рдорд╛рдгреАрдХрд░рдг, рд╕рд░реНрд╡рд░ рдкреНрд░рдорд╛рдгреАрдХрд░рдг, рдХреЛрдб рд╕рд╛рдЗрдирд┐рдВрдЧ, рдЖрджрд┐ рд╢рд╛рдорд┐рд▓ рд╣реИрдВред ESC3 рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧ рдХреА рдЧрдИ рддрдХрдиреАрдХ рдХрд╛ рдЙрдкрдпреЛрдЧ рдЗрд╕ рдкрд░рд┐рджреГрд╢реНрдп рдХрд╛ рд▓рд╛рдн рдЙрдард╛рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред
рдХреЛрдИ EKUs рдирд╣реАрдВ рд╣реЛрдиреЗ рд╡рд╛рд▓реЗ рдкреНрд░рдорд╛рдгрдкрддреНрд░, рдЬреЛ рдЕрдзреАрдирд╕реНрде CA рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХреЗ рд░реВрдк рдореЗрдВ рдХрд╛рд░реНрдп рдХрд░рддреЗ рд╣реИрдВ, рдХреЛ рдХрд┐рд╕реА рднреА рдЙрджреНрджреЗрд╢реНрдп рдХреЗ рд▓рд┐рдП рджреБрд░реБрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ рдФрд░ рдирдП рдкреНрд░рдорд╛рдгрдкрддреНрд░реЛрдВ рдкрд░ рд╣рд╕реНрддрд╛рдХреНрд╖рд░ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рднреА рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдЗрд╕рд▓рд┐рдП, рдПрдХ рд╣рдорд▓рд╛рд╡рд░ рдПрдХ рдЕрдзреАрдирд╕реНрде CA рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдирдП рдкреНрд░рдорд╛рдгрдкрддреНрд░реЛрдВ рдореЗрдВ рдордирдорд╛рдиреЗ EKUs рдпрд╛ рдлрд╝реАрд▓реНрдб рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░ рд╕рдХрддрд╛ рд╣реИред
рд╣рд╛рд▓рд╛рдВрдХрд┐, рдбреЛрдореЗрди рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХреЗ рд▓рд┐рдП рдмрдирд╛рдП рдЧрдП рдирдП рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХрд╛рд░реНрдп рдирд╣реАрдВ рдХрд░реЗрдВрдЧреЗ рдпрджрд┐ рдЕрдзреАрдирд╕реНрде CA NTAuthCertificates
рдСрдмреНрдЬреЗрдХреНрдЯ рджреНрд╡рд╛рд░рд╛ рд╡рд┐рд╢реНрд╡рд╕рдиреАрдп рдирд╣реАрдВ рд╣реИ, рдЬреЛ рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд╕реЗрдЯрд┐рдВрдЧ рд╣реИред рдлрд┐рд░ рднреА, рдПрдХ рд╣рдорд▓рд╛рд╡рд░ рдХрд┐рд╕реА рднреА EKU рдФрд░ рдордирдорд╛рдиреЗ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдорд╛рдиреЛрдВ рдХреЗ рд╕рд╛рде рдирдП рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдмрдирд╛ рд╕рдХрддрд╛ рд╣реИред рдЗрдиреНрд╣реЗрдВ рд╕рдВрднрд╛рд╡рд┐рдд рд░реВрдк рд╕реЗ рдХрдИ рдЙрджреНрджреЗрд╢реНрдпреЛрдВ (рдЬреИрд╕реЗ, рдХреЛрдб рд╕рд╛рдЗрдирд┐рдВрдЧ, рд╕рд░реНрд╡рд░ рдкреНрд░рдорд╛рдгреАрдХрд░рдг, рдЖрджрд┐) рдХреЗ рд▓рд┐рдП рджреБрд░реБрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ рдФрд░ рдиреЗрдЯрд╡рд░реНрдХ рдореЗрдВ рдЕрдиреНрдп рдЕрдиреБрдкреНрд░рдпреЛрдЧреЛрдВ рдЬреИрд╕реЗ SAML, AD FS, рдпрд╛ IPSec рдХреЗ рд▓рд┐рдП рдорд╣рддреНрд╡рдкреВрд░реНрдг рдкреНрд░рднрд╛рд╡ рд╣реЛ рд╕рдХрддреЗ рд╣реИрдВред
AD Forest рдХреЗ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рд╕реНрдХреАрдорд╛ рдХреЗ рднреАрддрд░ рдЗрд╕ рдкрд░рд┐рджреГрд╢реНрдп рд╕реЗ рдореЗрд▓ рдЦрд╛рдиреЗ рд╡рд╛рд▓реЗ рдЯреЗрдореНрдкрд▓реЗрдЯреНрд╕ рдХреЛ рд╕реВрдЪреАрдмрджреНрдз рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд LDAP рдХреНрд╡реЗрд░реА рдЪрд▓рд╛рдИ рдЬрд╛ рд╕рдХрддреА рд╣реИ:
рдпрд╣ рдкрд░рд┐рджреГрд╢реНрдп рдкрд╣рд▓реЗ рдФрд░ рджреВрд╕рд░реЗ рдХреЗ рд╕рдорд╛рди рд╣реИ рд▓реЗрдХрд┐рди рднрд┐рдиреНрди EKU (Certificate Request Agent) рдФрд░ 2 рднрд┐рдиреНрди рдЯреЗрдореНрдкрд▓реЗрдЯреНрд╕ рдХрд╛ рджреБрд░реБрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИ (рдЗрд╕рд▓рд┐рдП рдЗрд╕рдореЗрдВ 2 рд╕реЗрдЯ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛рдПрдБ рд╣реИрдВ),
Certificate Request Agent EKU (OID 1.3.6.1.4.1.311.20.2.1), рдЬрд┐рд╕реЗ Microsoft рджрд╕реНрддрд╛рд╡реЗрдЬрд╝ рдореЗрдВ Enrollment Agent рдХреЗ рд░реВрдк рдореЗрдВ рдЬрд╛рдирд╛ рдЬрд╛рддрд╛ рд╣реИ, рдПрдХ рдкреНрд░рдореБрдЦ рдХреЛ рджреВрд╕рд░реЗ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреА рдУрд░ рд╕реЗ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХреЗ рд▓рд┐рдП рдирд╛рдорд╛рдВрдХрд┐рдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИред
тАЬenrollment agentтАЭ рдПрдХ рдРрд╕реЗ рдЯреЗрдореНрдкрд▓реЗрдЯ рдореЗрдВ рдирд╛рдорд╛рдВрдХрд┐рдд рд╣реЛрддрд╛ рд╣реИ рдФрд░ рдкрд░рд┐рдгрд╛рдорд╕реНрд╡рд░реВрдк рдкреНрд░рд╛рдкреНрдд рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХрд╛ рдЙрдкрдпреЛрдЧ рджреВрд╕рд░реЗ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреА рдУрд░ рд╕реЗ рдПрдХ CSR рдХреЛ рд╕рд╣-рд╣рд╕реНрддрд╛рдХреНрд╖рд░рд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд░рддрд╛ рд╣реИред рдлрд┐рд░ рдпрд╣ рд╕рд╣-рд╣рд╕реНрддрд╛рдХреНрд╖рд░рд┐рдд CSR рдХреЛ CA рдХреЛ рднреЗрдЬрддрд╛ рд╣реИ, рдПрдХ рдЯреЗрдореНрдкрд▓реЗрдЯ рдореЗрдВ рдирд╛рдорд╛рдВрдХрд┐рдд рд╣реЛрддрд╛ рд╣реИ рдЬреЛ тАЬрдХреА рдУрд░ рд╕реЗ рдирд╛рдорд╛рдВрдХрд┐рддтАЭ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ, рдФрд░ CA тАЬрджреВрд╕рд░реЗтАЭ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХрд╛ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИред
Requirements 1:
Enterprise CA рджреНрд╡рд╛рд░рд╛ рдирд┐рдореНрди-privileged рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рдирд╛рдорд╛рдВрдХрди рдЕрдзрд┐рдХрд╛рд░ рджрд┐рдП рдЬрд╛рддреЗ рд╣реИрдВред
рдкреНрд░рдмрдВрдзрдХ рдЕрдиреБрдореЛрджрди рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдХреЛ рдЫреЛрдбрд╝ рджрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред
рдЕрдзрд┐рдХреГрдд рд╣рд╕реНрддрд╛рдХреНрд╖рд░реЛрдВ рдХреА рдХреЛрдИ рдЖрд╡рд╢реНрдпрдХрддрд╛ рдирд╣реАрдВ рд╣реИред
рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯ рдХрд╛ рд╕реБрд░рдХреНрд╖рд╛ рд╡рд░реНрдгрди excessively permissive рд╣реИ, рдЬреЛ рдирд┐рдореНрди-privileged рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рдирд╛рдорд╛рдВрдХрди рдЕрдзрд┐рдХрд╛рд░ рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИред
рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯ рдореЗрдВ Certificate Request Agent EKU рд╢рд╛рдорд┐рд▓ рд╣реИ, рдЬреЛ рдЕрдиреНрдп рдкреНрд░рдореБрдЦреЛрдВ рдХреА рдУрд░ рд╕реЗ рдЕрдиреНрдп рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯреНрд╕ рдХреЗ рдЕрдиреБрд░реЛрдз рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИред
Requirements 2:
Enterprise CA рдирд┐рдореНрди-privileged рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рдирд╛рдорд╛рдВрдХрди рдЕрдзрд┐рдХрд╛рд░ рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИред
рдкреНрд░рдмрдВрдзрдХ рдЕрдиреБрдореЛрджрди рдХреЛ рдмрд╛рдпрдкрд╛рд╕ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред
рдЯреЗрдореНрдкрд▓реЗрдЯ рдХрд╛ рд╕реНрдХреАрдорд╛ рд╕рдВрд╕реНрдХрд░рдг 1 рд╣реИ рдпрд╛ 2 рд╕реЗ рдЕрдзрд┐рдХ рд╣реИ, рдФрд░ рдпрд╣ рдПрдХ Application Policy Issuance Requirement рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рддрд╛ рд╣реИ рдЬреЛ Certificate Request Agent EKU рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИред
рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯ рдореЗрдВ рдкрд░рд┐рднрд╛рд╖рд┐рдд EKU рдбреЛрдореЗрди рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИред
CA рдкрд░ рдирд╛рдорд╛рдВрдХрди рдПрдЬреЗрдВрдЯреЛрдВ рдХреЗ рд▓рд┐рдП рдкреНрд░рддрд┐рдмрдВрдз рд▓рд╛рдЧреВ рдирд╣реАрдВ рд╣реЛрддреЗ рд╣реИрдВред
рдЖрдк рдЗрд╕ рдкрд░рд┐рджреГрд╢реНрдп рдХрд╛ рджреБрд░реБрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП Certify рдпрд╛ Certipy рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:
The рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЬрд┐рдиреНрд╣реЗрдВ рдирд╛рдорд╛рдВрдХрди рдПрдЬреЗрдВрдЯ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рд╣реИ, рдЙрди рдЯреЗрдореНрдкрд▓реЗрдЯреНрд╕ рдореЗрдВ рдЬрд┐рдирдореЗрдВ рдирд╛рдорд╛рдВрдХрди рдПрдЬреЗрдВрдЯ рдирд╛рдорд╛рдВрдХрд┐рдд рд╣реЛрдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рд╣реИ, рдФрд░ рдЦрд╛рддреЗ рдЬрд┐рдирдХреЗ behalf рдкрд░ рдирд╛рдорд╛рдВрдХрди рдПрдЬреЗрдВрдЯ рдХрд╛рд░реНрдп рдХрд░ рд╕рдХрддрд╛ рд╣реИ, рдХреЛ рдПрдВрдЯрд░рдкреНрд░рд╛рдЗрдЬ CA рджреНрд╡рд╛рд░рд╛ рд╕реАрдорд┐рдд рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдпрд╣ certsrc.msc
рд╕реНрдиреИрдк-рдЗрди рдХреЛ рдЦреЛрд▓рдХрд░, CA рдкрд░ рд░рд╛рдЗрдЯ-рдХреНрд▓рд┐рдХ рдХрд░рдХреЗ, рдЧреБрдг рдкрд░ рдХреНрд▓рд┐рдХ рдХрд░рдХреЗ, рдФрд░ рдлрд┐рд░ тАЬEnrollment AgentsтАЭ рдЯреИрдм рдкрд░ рдиреЗрд╡рд┐рдЧреЗрдЯ рдХрд░рдХреЗ рдкреНрд░рд╛рдкреНрдд рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред
рд╣рд╛рд▓рд╛рдВрдХрд┐, рдпрд╣ рдиреЛрдЯ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ рдХрд┐ CA рдХреЗ рд▓рд┐рдП рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд╕реЗрдЯрд┐рдВрдЧ тАЬрдирд╛рдорд╛рдВрдХрди рдПрдЬреЗрдВрдЯреЛрдВ рдХреЛ рдкреНрд░рддрд┐рдмрдВрдзрд┐рдд рди рдХрд░реЗрдВтАЭ рд╣реИред рдЬрдм рдирд╛рдорд╛рдВрдХрди рдПрдЬреЗрдВрдЯреЛрдВ рдкрд░ рдкреНрд░рддрд┐рдмрдВрдз рдХреЛ рдкреНрд░рд╢рд╛рд╕рдХреЛрдВ рджреНрд╡рд╛рд░рд╛ рд╕рдХреНрд╖рдо рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рддреЛ рдЗрд╕реЗ тАЬRestrict enrollment agentsтАЭ рдкрд░ рд╕реЗрдЯ рдХрд░рдиреЗ рд╕реЗ рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдЕрддреНрдпрдзрд┐рдХ рдЕрдиреБрдорддрд┐ рджреЗрдиреЗ рд╡рд╛рд▓рд╛ рдмрдирд╛ рд░рд╣рддрд╛ рд╣реИред рдпрд╣ рд╕рднреА рдХреЛ рдХрд┐рд╕реА рднреА рдЯреЗрдореНрдкрд▓реЗрдЯ рдореЗрдВ рдирд╛рдорд╛рдВрдХрд┐рдд рд╣реЛрдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИред
рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯреНрд╕ рдкрд░ рд╕реБрд░рдХреНрд╖рд╛ рд╡рд░реНрдгрдирдХрд░реНрддрд╛ рдЙрди рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреЛ рдкрд░рд┐рднрд╛рд╖рд┐рдд рдХрд░рддрд╛ рд╣реИ рдЬреЛ рд╡рд┐рд╢рд┐рд╖реНрдЯ AD рдкреНрд░рд┐рдВрд╕рд┐рдкрд▓ рдЯреЗрдореНрдкрд▓реЗрдЯ рдХреЗ рд╕рдВрдмрдВрдз рдореЗрдВ рд░рдЦрддреЗ рд╣реИрдВред
рдпрджрд┐ рдПрдХ рд╣рдорд▓рд╛рд╡рд░ рдХреЗ рдкрд╛рд╕ рдЯреЗрдореНрдкрд▓реЗрдЯ рдХреЛ рдмрджрд▓рдиреЗ рдФрд░ рдкрд┐рдЫрд▓реЗ рдЕрдиреБрднрд╛рдЧреЛрдВ рдореЗрдВ рдЙрд▓реНрд▓рд┐рдЦрд┐рдд рдХрд┐рд╕реА рднреА рд╢реЛрд╖рдг рдпреЛрдЧреНрдп рдЧрд▓рдд рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЛ рд▓рд╛рдЧреВ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЖрд╡рд╢реНрдпрдХ рдЕрдиреБрдорддрд┐рдпрд╛рдБ рд╣реИрдВ, рддреЛ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╡реГрджреНрдзрд┐ рдХреЛ рд╕рдХреНрд╖рдо рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред
рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯреНрд╕ рдкрд░ рд▓рд╛рдЧреВ рд╣реЛрдиреЗ рд╡рд╛рд▓реА рдорд╣рддреНрд╡рдкреВрд░реНрдг рдЕрдиреБрдорддрд┐рдпрд╛рдБ рд╢рд╛рдорд┐рд▓ рд╣реИрдВ:
Owner: рд╡рд╕реНрддреБ рдкрд░ рдирд┐рд╣рд┐рдд рдирд┐рдпрдВрддреНрд░рдг рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИ, рдЬрд┐рд╕рд╕реЗ рдХрд┐рд╕реА рднреА рд╡рд┐рд╢реЗрд╖рддрд╛ рдХреЛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рдорд┐рд▓рддреА рд╣реИред
FullControl: рд╡рд╕реНрддреБ рдкрд░ рдкреВрд░реНрдг рдЕрдзрд┐рдХрд╛рд░ рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИ, рдЬрд┐рд╕рдореЗрдВ рдХрд┐рд╕реА рднреА рд╡рд┐рд╢реЗрд╖рддрд╛ рдХреЛ рдмрджрд▓рдиреЗ рдХреА рдХреНрд╖рдорддрд╛ рд╢рд╛рдорд┐рд▓ рд╣реИред
WriteOwner: рд╣рдорд▓рд╛рд╡рд░ рдХреЗ рдирд┐рдпрдВрддреНрд░рдг рдореЗрдВ рдПрдХ рдкреНрд░рд┐рдВрд╕рд┐рдкрд▓ рдХреЗ рд▓рд┐рдП рд╡рд╕реНрддреБ рдХреЗ рдорд╛рд▓рд┐рдХ рдХреЛ рдмрджрд▓рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИред
WriteDacl: рдкрд╣реБрдБрдЪ рдирд┐рдпрдВрддреНрд░рдг рдХреЛ рд╕рдорд╛рдпреЛрдЬрд┐рдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ, рд╕рдВрднрд╛рд╡рд┐рдд рд░реВрдк рд╕реЗ рд╣рдорд▓рд╛рд╡рд░ рдХреЛ FullControl рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИред
WriteProperty: рдХрд┐рд╕реА рднреА рд╡рд╕реНрддреБ рдХреА рд╕рдВрдкрддреНрддрд┐рдпреЛрдВ рдХреЛ рд╕рдВрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИред
рдкрд┐рдЫрд▓реЗ рдПрдХ рдХреА рддрд░рд╣ рдПрдХ рдкреНрд░рд┐рд╡реЗрд╕реНрдХ рдХрд╛ рдЙрджрд╛рд╣рд░рдг:
ESC4 рддрдм рд╣реЛрддрд╛ рд╣реИ рдЬрдм рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рдкрд╛рд╕ рдПрдХ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯ рдкрд░ рд▓рд┐рдЦрдиреЗ рдХреЗ рдЕрдзрд┐рдХрд╛рд░ рд╣реЛрддреЗ рд╣реИрдВред рдЗрд╕реЗ рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯ рдХреА рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЛ рдУрд╡рд░рд░рд╛рдЗрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рджреБрд░реБрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ рддрд╛рдХрд┐ рдЯреЗрдореНрдкрд▓реЗрдЯ ESC1 рдХреЗ рд▓рд┐рдП рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рд╣реЛ рдЬрд╛рдПред
рдЬреИрд╕рд╛ рдХрд┐ рд╣рдо рдКрдкрд░ рдХреЗ рдкрде рдореЗрдВ рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ, рдХреЗрд╡рд▓ JOHNPC
рдХреЗ рдкрд╛рд╕ рдпреЗ рдЕрдзрд┐рдХрд╛рд░ рд╣реИрдВ, рд▓реЗрдХрд┐рди рд╣рдорд╛рд░реЗ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ JOHN
рдХреЗ рдкрд╛рд╕ JOHNPC
рдХреЗ рд▓рд┐рдП рдирдпрд╛ AddKeyCredentialLink
рдПрдЬ рд╣реИред рдЪреВрдВрдХрд┐ рдпрд╣ рддрдХрдиреАрдХ рдкреНрд░рдорд╛рдгрдкрддреНрд░реЛрдВ рд╕реЗ рд╕рдВрдмрдВрдзрд┐рдд рд╣реИ, рдореИрдВрдиреЗ рдЗрд╕ рд╣рдорд▓реЗ рдХреЛ рднреА рд▓рд╛рдЧреВ рдХрд┐рдпрд╛ рд╣реИ, рдЬрд┐рд╕реЗ Shadow Credentials рдХреЗ рд░реВрдк рдореЗрдВ рдЬрд╛рдирд╛ рдЬрд╛рддрд╛ рд╣реИред рдпрд╣рд╛рдБ рдкреАрдбрд╝рд┐рдд рдХреЗ NT рд╣реИрд╢ рдХреЛ рдкреБрдирдГ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП Certipy рдХреЗ shadow auto
рдХрдорд╛рдВрдб рдХрд╛ рдПрдХ рдЫреЛрдЯрд╛ рдкреВрд░реНрд╡рд╛рд╡рд▓реЛрдХрди рд╣реИред
Certipy рдПрдХрд▓ рдХрдорд╛рдВрдб рдХреЗ рд╕рд╛рде рдПрдХ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯ рдХреА рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЛ рдУрд╡рд░рд░рд╛рдЗрдЯ рдХрд░ рд╕рдХрддрд╛ рд╣реИред рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ, Certipy рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЛ рдУрд╡рд░рд░рд╛рдЗрдЯ рдХрд░реЗрдЧрд╛ рддрд╛рдХрд┐ рдпрд╣ ESC1 рдХреЗ рд▓рд┐рдП рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рд╣реЛ рдЬрд╛рдПред рд╣рдо -save-old
рдкреИрд░рд╛рдореАрдЯрд░ рдХреЛ рднреА рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рддрд╛рдХрд┐ рдкреБрд░рд╛рдиреА рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЛ рд╕рд╣реЗрдЬ рд╕рдХреЗрдВ, рдЬреЛ рд╣рдорд╛рд░реЗ рд╣рдорд▓реЗ рдХреЗ рдмрд╛рдж рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЛ рдкреБрдирд░реНрд╕реНрдерд╛рдкрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧреА рд╣реЛрдЧрд╛ред
ACL-рдЖрдзрд╛рд░рд┐рдд рд╕рдВрдмрдВрдзреЛрдВ рдХрд╛ рд╡рд┐рд╕реНрддреГрдд рдЬрд╛рд▓, рдЬрд┐рд╕рдореЗрдВ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯ рдФрд░ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдкреНрд░рд╛рдзрд┐рдХрд░рдг рдХреЗ рдЕрд▓рд╛рд╡рд╛ рдХрдИ рд╡рд╕реНрддреБрдПрдВ рд╢рд╛рдорд┐рд▓ рд╣реИрдВ, AD CS рдкреНрд░рдгрд╛рд▓реА рдХреА рд╕реБрд░рдХреНрд╖рд╛ рдХреЛ рдкреНрд░рднрд╛рд╡рд┐рдд рдХрд░ рд╕рдХрддрд╛ рд╣реИред рдпреЗ рд╡рд╕реНрддреБрдПрдВ, рдЬреЛ рд╕реБрд░рдХреНрд╖рд╛ рдХреЛ рдорд╣рддреНрд╡рдкреВрд░реНрдг рд░реВрдк рд╕реЗ рдкреНрд░рднрд╛рд╡рд┐рдд рдХрд░ рд╕рдХрддреА рд╣реИрдВ, рдореЗрдВ рд╢рд╛рдорд┐рд▓ рд╣реИрдВ:
CA рд╕рд░реНрд╡рд░ рдХрд╛ AD рдХрдВрдкреНрдпреВрдЯрд░ рдСрдмреНрдЬреЗрдХреНрдЯ, рдЬрд┐рд╕реЗ S4U2Self рдпрд╛ S4U2Proxy рдЬреИрд╕реЗ рддрдВрддреНрд░реЛрдВ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд╕рдордЭреМрддрд╛ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред
CA рд╕рд░реНрд╡рд░ рдХрд╛ RPC/DCOM рд╕рд░реНрд╡рд░ред
рд╡рд┐рд╢реЗрд╖ рдХрдВрдЯреЗрдирд░ рдкрде CN=Public Key Services,CN=Services,CN=Configuration,DC=<DOMAIN>,DC=<COM>
рдХреЗ рднреАрддрд░ рдХреЛрдИ рднреА рд╡рдВрд╢рдЬ AD рдСрдмреНрдЬреЗрдХреНрдЯ рдпрд╛ рдХрдВрдЯреЗрдирд░ред рдЗрд╕ рдкрде рдореЗрдВ, рд▓реЗрдХрд┐рди рд╕реАрдорд┐рдд рдирд╣реАрдВ рд╣реИ, рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯреНрд╕ рдХрдВрдЯреЗрдирд░, рдкреНрд░рдорд╛рдгрди рдкреНрд░рд╛рдзрд┐рдХрд░рдгреЛрдВ рдХрд╛ рдХрдВрдЯреЗрдирд░, NTAuthCertificates рдСрдмреНрдЬреЗрдХреНрдЯ, рдФрд░ рдирд╛рдорд╛рдВрдХрди рд╕реЗрд╡рд╛рдУрдВ рдХрд╛ рдХрдВрдЯреЗрдирд░ рд╢рд╛рдорд┐рд▓ рд╣реИрдВред
рдпрджрд┐ рдПрдХ рдирд┐рдореНрди-рд╡рд┐рд╢рд┐рд╖реНрдЯрддрд╛ рд╡рд╛рд▓рд╛ рд╣рдорд▓рд╛рд╡рд░ рдЗрди рдорд╣рддреНрд╡рдкреВрд░реНрдг рдШрдЯрдХреЛрдВ рдореЗрдВ рд╕реЗ рдХрд┐рд╕реА рдкрд░ рдирд┐рдпрдВрддреНрд░рдг рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдореЗрдВ рд╕рдлрд▓ рд╣реЛрддрд╛ рд╣реИ, рддреЛ PKI рдкреНрд░рдгрд╛рд▓реА рдХреА рд╕реБрд░рдХреНрд╖рд╛ рд╕рдордЭреМрддрд╛ рдХреА рдЬрд╛ рд╕рдХрддреА рд╣реИред
CQure Academy рдкреЛрд╕реНрдЯ рдореЗрдВ рдЪрд░реНрдЪрд╛ рдХрд┐рдП рдЧрдП рд╡рд┐рд╖рдп рдореЗрдВ EDITF_ATTRIBUTESUBJECTALTNAME2
рдзреНрд╡рдЬ рдХреЗ рдкреНрд░рднрд╛рд╡реЛрдВ рдкрд░ рднреА рдкреНрд░рдХрд╛рд╢ рдбрд╛рд▓рд╛ рдЧрдпрд╛ рд╣реИ, рдЬреИрд╕рд╛ рдХрд┐ Microsoft рджреНрд╡рд╛рд░рд╛ рд╡рд░реНрдгрд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред рдпрд╣ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди, рдЬрдм рдПрдХ рдкреНрд░рдорд╛рдгрди рдкреНрд░рд╛рдзрд┐рдХрд░рдг (CA) рдкрд░ рд╕рдХреНрд░рд┐рдп рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рддреЛ рдХрд┐рд╕реА рднреА рдЕрдиреБрд░реЛрдз рдХреЗ рд▓рд┐рдП рд╡рд┐рднрд╡-рдкрд░рд┐рднрд╛рд╖рд┐рдд рдорд╛рдиреЛрдВ рдХреЛ рд╡рд┐рд╖рдп рд╡реИрдХрд▓реНрдкрд┐рдХ рдирд╛рдо рдореЗрдВ рд╢рд╛рдорд┐рд▓ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ, рдЬрд┐рд╕рдореЗрдВ Active Directory┬о рд╕реЗ рдирд┐рд░реНрдорд┐рдд рдЕрдиреБрд░реЛрдз рднреА рд╢рд╛рдорд┐рд▓ рд╣реИрдВред рдкрд░рд┐рдгрд╛рдорд╕реНрд╡рд░реВрдк, рдпрд╣ рдкреНрд░рд╛рд╡рдзрд╛рди рдПрдХ рдШреБрд╕рдкреИрдард┐рдП рдХреЛ рдХрд┐рд╕реА рднреА рдЯреЗрдореНрдкрд▓реЗрдЯ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдирд╛рдорд╛рдВрдХрди рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ рдЬреЛ рдбреЛрдореЗрди рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХреЗ рд▓рд┐рдП рд╕реЗрдЯ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИтАФрд╡рд┐рд╢реЗрд╖ рд░реВрдк рд╕реЗ рд╡реЗ рдЬреЛ рдирд┐рдореНрди-рд╡рд┐рд╢рд┐рд╖реНрдЯрддрд╛ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдорд╛рдВрдХрди рдХреЗ рд▓рд┐рдП рдЦреБрд▓реЗ рд╣реИрдВ, рдЬреИрд╕реЗ рдХрд┐ рдорд╛рдирдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЯреЗрдореНрдкрд▓реЗрдЯред рдЗрд╕рдХреЗ рдкрд░рд┐рдгрд╛рдорд╕реНрд╡рд░реВрдк, рдПрдХ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рд╕реБрд░рдХреНрд╖рд┐рдд рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ, рдЬрд┐рд╕рд╕реЗ рдШреБрд╕рдкреИрдард┐рдП рдХреЛ рдбреЛрдореЗрди рдкреНрд░рд╢рд╛рд╕рдХ рдХреЗ рд░реВрдк рдореЗрдВ рдпрд╛ рдбреЛрдореЗрди рдХреЗ рднреАрддрд░ рдХрд┐рд╕реА рдЕрдиреНрдп рд╕рдХреНрд░рд┐рдп рдЗрдХрд╛рдИ рдХреЗ рд░реВрдк рдореЗрдВ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рдорд┐рд▓рддреА рд╣реИред
Note: рдПрдХ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рд╣рд╕реНрддрд╛рдХреНрд╖рд░ рдЕрдиреБрд░реЛрдз (CSR) рдореЗрдВ рд╡реИрдХрд▓реНрдкрд┐рдХ рдирд╛рдореЛрдВ рдХреЛ рдЬреЛрдбрд╝рдиреЗ рдХреЗ рд▓рд┐рдП -attrib "SAN:"
рддрд░реНрдХ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ certreq.exe
рдореЗрдВ рдЙрдкрдпреЛрдЧ рдХреА рдЬрд╛рдиреЗ рд╡рд╛рд▓реА рд╡рд┐рдзрд┐ (рдЬрд┐рд╕реЗ "рдирд╛рдо рдорд╛рди рдЬреЛрдбрд╝реЗ" рдХреЗ рд░реВрдк рдореЗрдВ рд╕рдВрджрд░реНрднрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ) ESC1 рдореЗрдВ SANs рдХреЗ рд╢реЛрд╖рдг рд░рдгрдиреАрддрд┐ рд╕реЗ рд╡рд┐рднрд┐рдиреНрдирддрд╛ рдкреНрд░рд╕реНрддреБрдд рдХрд░рддреА рд╣реИред рдпрд╣рд╛рдБ, рднреЗрдж рдХреИрд╕реЗ рдЦрд╛рддрд╛ рдЬрд╛рдирдХрд╛рд░реА рдХреЛ рд╕рдВрдХреБрдЪрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИтАФрдПрдХ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рд╡рд┐рд╢реЗрд╖рддрд╛ рдХреЗ рднреАрддрд░, рди рдХрд┐ рдПрдХ рд╡рд┐рд╕реНрддрд╛рд░ рдХреЗ рд░реВрдк рдореЗрдВред
рдпрд╣ рд╕рддреНрдпрд╛рдкрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХрд┐ рд╕реЗрдЯрд┐рдВрдЧ рд╕рдХреНрд░рд┐рдп рд╣реИ рдпрд╛ рдирд╣реАрдВ, рд╕рдВрдЧрдарди рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдХрдорд╛рдВрдб рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ certutil.exe
рдХреЗ рд╕рд╛рде:
рдпрд╣ рдСрдкрд░реЗрд╢рди рдореВрд▓ рд░реВрдк рд╕реЗ рд░рд┐рдореЛрдЯ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдПрдХреНрд╕реЗрд╕ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИ, рдЗрд╕рд▓рд┐рдП, рдПрдХ рд╡реИрдХрд▓реНрдкрд┐рдХ рджреГрд╖реНрдЯрд┐рдХреЛрдг рд╣реЛ рд╕рдХрддрд╛ рд╣реИ:
Tools like Certify рдФрд░ Certipy рдЗрд╕ рдЧрд▓рдд рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рдиреЗ рдФрд░ рдЗрд╕рдХрд╛ рд▓рд╛рдн рдЙрдард╛рдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рд╣реИрдВ:
рдЗрди рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХреЛ рдмрджрд▓рдиреЗ рдХреЗ рд▓рд┐рдП, рдпрд╣ рдорд╛рдирддреЗ рд╣реБрдП рдХрд┐ рдХрд┐рд╕реА рдХреЗ рдкрд╛рд╕ рдбреЛрдореЗрди рдкреНрд░рд╢рд╛рд╕рдирд┐рдХ рдЕрдзрд┐рдХрд╛рд░ рдпрд╛ рд╕рдордХрдХреНрд╖ рд╣реИрдВ, рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдХрдорд╛рдВрдб рдХрд┐рд╕реА рднреА рдХрд╛рд░реНрдпрд╕реНрдерд▓ рд╕реЗ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ:
рдЗрд╕ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЛ рдЕрдкрдиреЗ рд╡рд╛рддрд╛рд╡рд░рдг рдореЗрдВ рдЕрдХреНрд╖рдо рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдзреНрд╡рдЬ рдХреЛ рд╣рдЯрд╛рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ:
рдордИ 2022 рдХреЗ рд╕реБрд░рдХреНрд╖рд╛ рдЕрдкрдбреЗрдЯ рдХреЗ рдмрд╛рдж, рдирдП рдЬрд╛рд░реА рдХрд┐рдП рдЧрдП certificates рдореЗрдВ рдПрдХ рд╕реБрд░рдХреНрд╖рд╛ рд╡рд┐рд╕реНрддрд╛рд░ рд╣реЛрдЧрд╛ рдЬреЛ рдЕрдиреБрд░реЛрдзрдХрд░реНрддрд╛ рдХреЗ objectSid
рдкреНрд░реЙрдкрд░реНрдЯреА рдХреЛ рд╢рд╛рдорд┐рд▓ рдХрд░рддрд╛ рд╣реИред ESC1 рдХреЗ рд▓рд┐рдП, рдпрд╣ SID рдирд┐рд░реНрджрд┐рд╖реНрдЯ SAN рд╕реЗ рдирд┐рдХрд╛рд▓рд╛ рдЧрдпрд╛ рд╣реИред рд╣рд╛рд▓рд╛рдБрдХрд┐, ESC6 рдХреЗ рд▓рд┐рдП, SID рдЕрдиреБрд░реЛрдзрдХрд░реНрддрд╛ рдХреЗ objectSid
рдХреЛ рджрд░реНрд╢рд╛рддрд╛ рд╣реИ, рди рдХрд┐ SAN рдХреЛред
ESC6 рдХрд╛ рд▓рд╛рдн рдЙрдард╛рдиреЗ рдХреЗ рд▓рд┐рдП, рдпрд╣ рдЖрд╡рд╢реНрдпрдХ рд╣реИ рдХрд┐ рд╕рд┐рд╕реНрдЯрдо ESC10 (рдХрдордЬреЛрд░ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдореИрдкрд┐рдВрдЧ) рдХреЗ рдкреНрд░рддрд┐ рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рд╣реЛ, рдЬреЛ рдирдП рд╕реБрд░рдХреНрд╖рд╛ рд╡рд┐рд╕реНрддрд╛рд░ рдХреА рддреБрд▓рдирд╛ рдореЗрдВ SAN рдХреЛ рдкреНрд░рд╛рдердорд┐рдХрддрд╛ рджреЗрддрд╛ рд╣реИред
рдПрдХ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдкреНрд░рд╛рдзрд┐рдХрд░рдг рдХреЗ рд▓рд┐рдП рдкрд╣реБрдВрдЪ рдирд┐рдпрдВрддреНрд░рдг рдПрдХ рд╕реЗрдЯ рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдмрдирд╛рдП рд░рдЦрд╛ рдЬрд╛рддрд╛ рд╣реИ рдЬреЛ CA рдХреНрд░рд┐рдпрд╛рдУрдВ рдХреЛ рдирд┐рдпрдВрддреНрд░рд┐рдд рдХрд░рддрд╛ рд╣реИред рдЗрди рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреЛ certsrv.msc
рддрдХ рдкрд╣реБрдБрдЪрдХрд░, CA рдкрд░ рд░рд╛рдЗрдЯ-рдХреНрд▓рд┐рдХ рдХрд░рдХреЗ, рдкреНрд░реЙрдкрд░реНрдЯреАрдЬрд╝ рдХрд╛ рдЪрдпрди рдХрд░рдХреЗ, рдФрд░ рдлрд┐рд░ рд╕реБрд░рдХреНрд╖рд╛ рдЯреИрдм рдкрд░ рдЬрд╛рдХрд░ рджреЗрдЦрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдЗрд╕рдХреЗ рдЕрддрд┐рд░рд┐рдХреНрдд, PSPKI рдореЙрдбреНрдпреВрд▓ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреЛ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдХрдорд╛рдВрдб рдХреЗ рд╕рд╛рде рд╕реВрдЪреАрдмрджреНрдз рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ:
рдпрд╣ рдореБрдЦреНрдп рдЕрдзрд┐рдХрд╛рд░реЛрдВ, рдЕрд░реНрдерд╛рддреН ManageCA
рдФрд░ ManageCertificates
рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЬрд╛рдирдХрд╛рд░реА рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИ, рдЬреЛ рдХреНрд░рдорд╢рдГ "CA рдкреНрд░рд╢рд╛рд╕рдХ" рдФрд░ "рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдкреНрд░рдмрдВрдзрдХ" рдХреА рднреВрдорд┐рдХрд╛рдУрдВ рд╕реЗ рд╕рдВрдмрдВрдзрд┐рдд рд╣реИрдВред
рдПрдХ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдкреНрд░рд╛рдзрд┐рдХрд░рдг рдкрд░ ManageCA
рдЕрдзрд┐рдХрд╛рд░ рд╣реЛрдиреЗ рд╕реЗ рдкреНрд░рдореБрдЦ рдХреЛ PSPKI рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рджреВрд░рд╕реНрде рд░реВрдк рд╕реЗ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХреЛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рдорд┐рд▓рддреА рд╣реИред рдЗрд╕рдореЗрдВ EDITF_ATTRIBUTESUBJECTALTNAME2
рдзреНрд╡рдЬ рдХреЛ рдЯреЙрдЧрд▓ рдХрд░рдирд╛ рд╢рд╛рдорд┐рд▓ рд╣реИ рддрд╛рдХрд┐ рдХрд┐рд╕реА рднреА рдЯреЗрдореНрдкрд▓реЗрдЯ рдореЗрдВ SAN рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рдорд┐рд▓ рд╕рдХреЗ, рдЬреЛ рдбреЛрдореЗрди рд╡реГрджреНрдзрд┐ рдХрд╛ рдПрдХ рдорд╣рддреНрд╡рдкреВрд░реНрдг рдкрд╣рд▓реВ рд╣реИред
рдЗрд╕ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЛ PSPKI рдХреЗ Enable-PolicyModuleFlag cmdlet рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд╕рд░рд▓ рдмрдирд╛рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ, рдЬреЛ рд╕реАрдзреЗ GUI рдЗрдВрдЯрд░реИрдХреНрд╢рди рдХреЗ рдмрд┐рдирд╛ рд╕рдВрд╢реЛрдзрди рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИред
ManageCertificates
рдЕрдзрд┐рдХрд╛рд░реЛрдВ рдХрд╛ рдЕрдзрд┐рдЧреНрд░рд╣рдг рд▓рдВрдмрд┐рдд рдЕрдиреБрд░реЛрдзреЛрдВ рдХреА рд╕реНрд╡реАрдХреГрддрд┐ рдХреЛ рд╕реБрд╡рд┐рдзрд╛рдЬрдирдХ рдмрдирд╛рддрд╛ рд╣реИ, рдкреНрд░рднрд╛рд╡реА рд░реВрдк рд╕реЗ "CA рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдкреНрд░рдмрдВрдзрдХ рд╕реНрд╡реАрдХреГрддрд┐" рд╕реБрд░рдХреНрд╖рд╛ рдХреЛ рджрд░рдХрд┐рдирд╛рд░ рдХрд░рддрд╛ рд╣реИред
Certify рдФрд░ PSPKI рдореЙрдбреНрдпреВрд▓ рдХрд╛ рд╕рдВрдпреЛрдЬрди рдПрдХ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдХреЗ рд▓рд┐рдП рдЕрдиреБрд░реЛрдз, рд╕реНрд╡реАрдХреГрддрд┐ рдФрд░ рдбрд╛рдЙрдирд▓реЛрдб рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ:
In the previous attack Manage CA
permissions were used to enable the EDITF_ATTRIBUTESUBJECTALTNAME2 flag to perform the ESC6 attack, but this will not have any effect until the CA service (CertSvc
) is restarted. When a user has the Manage CA
access right, the user is also allowed to restart the service. However, it does not mean that the user can restart the service remotely. Furthermore, ESC6 might not work out of the box in most patched environments due to the May 2022 security updates.
рдЗрд╕рд▓рд┐рдП, рдпрд╣рд╛рдБ рдПрдХ рдФрд░ рд╣рдорд▓рд╛ рдкреНрд░рд╕реНрддреБрдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред
Perquisites:
рдХреЗрд╡рд▓ ManageCA
рдЕрдиреБрдорддрд┐
Manage Certificates
рдЕрдиреБрдорддрд┐ (рдХреЛ ManageCA
рд╕реЗ рджреА рдЬрд╛ рд╕рдХрддреА рд╣реИ)
рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯ SubCA
рдХреЛ рд╕рдХреНрд╖рдо рдХрд░рдирд╛ рд╣реЛрдЧрд╛ (рдХреЛ ManageCA
рд╕реЗ рд╕рдХреНрд╖рдо рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИ)
рдпрд╣ рддрдХрдиреАрдХ рдЗрд╕ рддрдереНрдп рдкрд░ рдирд┐рд░реНрднрд░ рдХрд░рддреА рд╣реИ рдХрд┐ Manage CA
рдФрд░ Manage Certificates
рдкрд╣реБрдБрдЪ рдЕрдзрд┐рдХрд╛рд░ рд╡рд╛рд▓реЗ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЕрд╕рдлрд▓ рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЕрдиреБрд░реЛрдз рдЬрд╛рд░реА рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред SubCA
рдкреНрд░рдорд╛рдгрдкрддреНрд░ рдЯреЗрдореНрдкрд▓реЗрдЯ ESC1 рдХреЗ рдкреНрд░рддрд┐ рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рд╣реИ, рд▓реЗрдХрд┐рди рдХреЗрд╡рд▓ рдкреНрд░рд╢рд╛рд╕рдХ рдЯреЗрдореНрдкрд▓реЗрдЯ рдореЗрдВ рдирд╛рдорд╛рдВрдХрд┐рдд рд╣реЛ рд╕рдХрддреЗ рд╣реИрдВред рдЗрд╕рд▓рд┐рдП, рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ SubCA
рдореЗрдВ рдирд╛рдорд╛рдВрдХрди рдХреЗ рд▓рд┐рдП рдЕрдиреБрд░реЛрдз рдХрд░ рд╕рдХрддрд╛ рд╣реИ - рдЬрд┐рд╕реЗ рдЕрд╕реНрд╡реАрдХреГрдд рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ - рд▓реЗрдХрд┐рди рдлрд┐рд░ рдмрд╛рдж рдореЗрдВ рдкреНрд░рдмрдВрдзрдХ рджреНрд╡рд╛рд░рд╛ рдЬрд╛рд░реА рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ред
рдЖрдк рдЕрдкрдиреЗ рд▓рд┐рдП Manage Certificates
рдкрд╣реБрдБрдЪ рдЕрдзрд┐рдХрд╛рд░ рджреЗ рд╕рдХрддреЗ рд╣реИрдВ рдЕрдкрдиреЗ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЛ рдПрдХ рдирдП рдЕрдзрд┐рдХрд╛рд░реА рдХреЗ рд░реВрдк рдореЗрдВ рдЬреЛрдбрд╝рдХрд░ред
SubCA
рдЯреЗрдореНрдкрд▓реЗрдЯ рдХреЛ -enable-template
рдкреИрд░рд╛рдореАрдЯрд░ рдХреЗ рд╕рд╛рде CA рдкрд░ рд╕рдХреНрд░рд┐рдп рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ, SubCA
рдЯреЗрдореНрдкрд▓реЗрдЯ рд╕рдХреНрд░рд┐рдп рд╣реЛрддрд╛ рд╣реИред