Как разрешить центру сертификации Active Directory создавать сертификаты с атрибутом Subject Alternative Name

 Начиная с Google Chrome 58 больше не доверяет сертификатам без атрибута Subject Alternative Name, поэтому это делает его немного хлопотным для тех, у кого есть внутренние центры выпуска сертификатов, где вы полагаетесь на них при разработке программного обеспечения. На прошлой неделе мы заметили, что некоторые конечные пользователи не могут попасть во внутреннее приложение через HTTPS, но это нормально в Firefox и IE. После быстрого поиска я обнаружил, что виновником было изменение поведения Google Chrome, чтобы более строго придерживаться RFC 2818Поэтому я приступил к работе над нашим центром сертификации, разрешив запрашивать сертификаты с атрибутом Subject Alternative Name.

Запустите административную командную строку на одном из промежуточных серверов CA и выполните следующую команду;

certutil-setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2



Затем вам нужно будет перезапустить службы сертификатов. После этого лучше всего создать новый шаблон (наш называется Dev Web Servers) вместе с предоставлением правильных разрешений, позволяющих пользователям или машинам регистрироваться и начинать выдачу новых сертификатов. На данный момент мы делаем это вручную через веб-интерфейс, поэтому при запросе сертификата вам необходимо заполнить текстовое поле атрибута следующим образом (например, изображение слева)

san: dns=hostname1&dns=hostname2&dns=devweb2

Заполните часть dns=, пока вы не закроете все нужные вам сайты. Выполните запрос на установку сертификата на ваш сервер и настройте привязки SSL для использования нового сертификата.