Обновление API GCC ePKI для размещения идентификатора безопасности (SID)
17 апр. 2025 г.
Обновление API GCC ePKI для размещения идентификатора безопасности (SID)
Чтобы устранить уязвимость аутентификации на основе сертификатов в контроллерах домена, Microsoft опубликовала изменение требований для поддержки идентификаторов безопасности в сертификатах для целей аутентификации.
Что такое идентификатор безопасности (SID)?
Идентификатор безопасности (Security Identifier, SID) - это уникальный идентификационный номер, который компьютер или контроллер домена использует для идентификации пользователя. Он может быть сгенерирован с помощью команды 'whoami /user' с компьютера под управлением Windows." Затем приложите снимок экрана, похожий на этот:
API GCC EPKI будет обновлен, чтобы добавить параметр SID (Security Identifier) для предоставления пользователю значения к 31 июля 2023 года. Этот параметр будет необязательным до даты вступления в силу 14 ноября 2023 года.
ВАЖНО: Новая документация по API EPKI доступна здесь: https://www.globalsign.com/en/repository/globalsign-api-for-epki-user-guide.pdf.
Параметр SID будет добавлен к следующим командам API:
Запрос OrderPkcs7 (OrderAndIssueCertificate)
<ns2:OrderAndIssueCertificate xmlns:ns2="https://system.globalsign.com/cr/ws/">
<Request>
<OrderRequestHeader AuthToken>
<>
< UserName> 30 String
<Пароль> 30 строк
</AuthToken>
</OrderRequestHeader>
< ProfileID> MP20xxxxxxx
<ProductCode> EPKIPSDept, EPKIPSPersonal, EPKIPSPersonalPro,
<Год> 1, 2 или 3
<CSR> 4000 Строка
<EFSOption>? true/false
<UPN>? 64 Строка
<SID>? 64
<SANRFC822EmailAddress> 255 String
<DnAttributes>
< CommonName> 64 String
(< OrganizationUnit>)? 64 String
(< OrganizationUnit>)? 64 String
(< OrganizationUnit>)? 64 String
(<Email>)? 255 String
</DnAttributes>
< SubscriberEmailAddress> 255 String
<PickupPassword> 256 String
(< EmailLanguage>)? 2 String
(<Расширения>
(<Расширение>
<Имя> 30 Строка
<Значение> 30 Строка
</Extension>)*
</Extensions>)?
</Request>
</OrderAndIssueCertificate>
ЗаказЗапросPkcs12
<ns2:OrderPkcs12 xmlns:ns2="https://system.globalsign.com/cr/ws/">.
<Request>
<OrderRequestHeader AuthToken>
<>
< UserName> 30 String
<Пароль> 30 строк
</AuthToken>
</OrderRequestHeader>
< ProfileID> MP20xxxxxxx
<PKCS12PIN> 117 String
<ProductCode> EPKIPSDept, EPKIPSPersonal, EPKIPSPersonalPro,
<Год> 1, 2 или 3
<EFSOption>? true/false
<UPN>? 64 строка
<SID>? 64
<SANRFC822EmailAddress> 255 Строка
<Renew>? true/false
<DnAttributes>
< CommonName> 64 String
(< OrganizationUnit>)? 64 String
(< OrganizationUnit>)? 64 String
(< OrganizationUnit>)? 64 String
(<Email>)? 255 String
</DnAttributes>
< SubscriberEmailAddress>? 255 String
(< EmailLanguage>)? 2 String
(<Расширения>
(<Расширение>
<Имя> 30 Строка
<Значение> 30 Строка
</Extension>)*
</Extensions>)?
</Request>
</OrderPkcs12>
ЗаказСертификат Запрос
<ns2: OrderCertificate xmlns:ns2="https://system.globalsign.com/cr/ws/">
<Request>
<OrderRequestHeader AuthToken>
<>
< UserName> 30 String
<Пароль> 30 строк
</AuthToken>
</OrderRequestHeader>
< ProfileID> MP20xxxxxxx
<ProductCode> EPKIPSDept, EPKIPSPersonal, EPKIPSPersonalPro,
<Год> 1,2,3
<HasCSR>? true/false
<PKCS12Option>? true/false
<HasFortify>? true/false (игнорировать)
<EFSOption>? true/false
<UPN>? 255 Строка
<SID>? 255
<SANRFC822EmailAddress> 255 String
<DnAttributes>
< CommonName> 64 String
(< OrganizationUnit>)? 64 String
(< OrganizationUnit>)? 64 String
(< OrganizationUnit>)? 64 String
<Email> 255 String
</DnAttributes>
< SubscriberEmailAddress> 255 String
<PickupPassword> 256 String
(< EmailLanguage>)? 2 String
(<Расширения>
(<Расширение>
<Имя> 30 Строка
<Значение> 30 Строка
</Extension>)*
</Extensions>)?
</Request>
</OrderCertificate>
Инструмент инвентаризации сертификатов (CIT)
Сканируйте конечные точки, чтобы найти все ваши сертификаты.
Войти / ЗарегистрироватьсяТест конфигурации SSL
Проверьте установку сертификата на наличие проблем и уязвимостей SSL.