Este documento describe cómo hay 3 formas de restringir un certificado de SmartCard
El campo Uso mejorado de clave define uno o más propósitos para los cuales La clave pública puede ser utilizada. RFC 5280 dice "en general, [sic] el EKU la extensión aparecerá solo en los certificados de la entidad final ". Certificación Los certificados de las autoridades pueden contener entradas EKU. Permitir tarjeta inteligente iniciar sesión dentro de un dominio de Active Directory en la cadena de tarjetas inteligentes trust debe admitir el inicio de sesión con tarjeta inteligente (OID 1.3.6.1.4.1.311.20.2.2) y la aplicación de autenticación de cliente (OID 1.3.6.1.5.5.7.3.2) las políticas. El inicio de sesión de tarjeta inteligente de Active Directory es compatible con el siguientes configuraciones de EKU:
- Todos los certificados en la cadena de confianza no afirman el Uso Mejorado de la Clave (excepto el certificado de la entidad final) el anyExtendedKeyUsage EKU está implícito.
- Todos los certificados en la cadena de confianza no afirman el uso de clave mejorada, excepto el certificado de punto de confianza raíz. Punto de confianza raíz El campo EKU afirma el inicio de sesión con tarjeta inteligente (OID 1.3.6.1.4.1.311.20.2.2) y Autenticación del cliente (OID 1.3.6.1.5.5.7.3.2).
- Todos los certificados en el campo Uso mejorado de la clave de la cadena de confianza confirman el inicio de sesión con tarjeta inteligente (OID 1.3.6.1.4.1.311.20.2.2) y el cliente Autenticación (OID 1.3.6.1.5.5.7.3.2).
La mejor práctica es que el certificado del punto de confianza raíz no incluya una extensión de uso de clave mejorada. La política federal común CA certificado no hace valer un EKU; por lo tanto, todas las políticas de aplicación están implicados.
¿Esto significa que necesito una PKI de tarjeta inteligente dedicada en mi entorno solo para restringir las tarjetas inteligentes a la autenticación?
¿Hay alguna forma en que pueda tener una CA raíz definida para todos los usos + tarjeta inteligente, y también tener una sub-ca dedicada a las tarjetas inteligentes para poder engañar el proceso de validación de AD?