Как выдать сертификат для компьютера с Windows, не подключенного к домену?

У меня есть Windows Server 2012 с AD/CA, и компьютеры, присоединенные к домену, автоматически получают публичный сертификат CA, а также получают сгенерированный сертификат компьютера, который внедряется с помощью авто-заказа через GPO. Все это используется для 802.1X и работает отлично.

Теперь мне нужно сгенерировать сертификат для компьютера Windows 10, не присоединенного к домену, чтобы он также мог аутентифицироваться с помощью 802.1X.

Это оказывается довольно сложной задачей. Я нашел этот пост, который описывает два способа достижения этой цели:

вариант 1

Экспортировать сертификат с компьютера, присоединенного к домену. Я протестировал этот способ, и он работает, но, как указано в том посте, недостаток в том, что все компьютеры, не входящие в домен, будут использовать один и тот же сертификат.

вариант 2 (предпочтительный)

1. Создать учетную запись в AD
2. Выдать сертификат из шаблона, который позволяет экспортировать закрытый ключ
3. Используя сопоставления имен, прикрепить сертификат к учетной записи
4. Создать SPN, соответствующий SAN на сертификате… т.е. если SAN это computer.domain.com, нужно создать SPN для учетной записи host/computer.domain.com
5. Установить сертификат на целевую рабочую станцию/устройство

Этот комментарий, похоже, подразумевает, что пять шагов выше можно сократить до следующих:

1. Создать компьютерную учетную запись в AD
2. Выдать компьютерный сертификат для компьютера вне домена, добавив SAN:UPN=<hostname>$@<domain.tld>
3. Установить компьютерный сертификат на клиенте

Вы можете сделать сложный вариант немного проще и сократить несколько шагов, используя запись SAN в сертификате с форматом SAN:UPN=<hostname>$@<domain.tld>. Это приведет к сертификату с NT Principal Name в поле SAN, что подходит для аутентификации на NPS как чистый объект компьютера. Единственная зависимость – создать учетную запись компьютера в Active Directory и добавить ее в соответствующие группы для AuthZ.

Я создал учетную запись Computer в AD с именем хоста win10test, но я не понимаю, как сгенерировать сертификат и как добавить SAN:UPN=<hostname>$@<domain.tld> в сертификат.

Мне нужно создать CSR на компьютере вне домена?

Может кто-то объяснить инструкции из поста на форуме MS. Спасибо.

ОБНОВЛЕНИЕ

Я создал запрос csr request.inf, который выглядит так:

[NewRequest]
Subject="CN=win10test"
KeyLength=2048
KeySpec=1
MachineKeySet=TRUE
SMIME = FALSE

[RequestAttributes]
CertificateTemplate="NonDomainWorkstations"
SAN="[email protected]"

Я затем скопировал его на CA и подал запрос. Сертификат для win10test был выдан, но он не содержит поля SAN. Я не понимаю, почему.

ОБНОВЛЕНИЕ 2

Новый запрос CSR с правильным атрибутом SAN, как указал Crypt32.

[NewRequest]
Subject="CN=win10test"
KeyLength=2048
KeySpec=1
MachineKeySet=TRUE
SMIME = FALSE

[Extensions]
2.5.29.17 = "{text}"
_continue_ = "[email protected]"

[RequestAttributes]
CertificateTemplate="NonDomainWorkstations"

Проблема, которая остается, в том, что сертификат выше, кажется, не связывается с учетной записью компьютера win10test в AD.

ОБНОВЛЕНИЕ 3

1. Создал компьютерную учетную запись AD win10test
2. Изменил dNSHostname на win10test.test.local
3. Создал CSR на win10test, используя следующий request.inf:

[NewRequest]
Subject="CN=win10test"
KeyLength=2048
KeySpec=1
MachineKeySet=TRUE
SMIME = FALSE

[Extensions]
2.5.29.17 = "{text}"
_continue_ = "dns=win10test.test.local"

[RequestAttributes]
CertificateTemplate="NonDomainWorkstations"

4. Запустите certreq -new request.inf win10test.req на win10test
5. Скопируйте win10test.req на сервер CA и подайте запрос
6. Скопируйте win10test.cer на win10test и установите на локальной машине.

Не могу пройти аутентификацию 802.1x. Получаю следующую ошибку в NPS:

Событие 6273
host/win10test.test.local
TEST
TEST\host/win10test.test.local

Указанная учетная запись пользователя не существует.

Ни одно из предложенных решений не подходит.

Если есть только один или очень немного компьютеров рабочей группы (которые не являются частью леса AD), то может иметь смысл вручную выдавать и обновлять клиентские сертификаты:

1. Вы генерируете CSR (запрос на сертификат) на компьютере рабочей группы
2. Копируете CSR на CA (или администраторский ПК) и подаете запрос в CA
3. выдаете подписанный сертификат и копируете его обратно на клиент
4. устанавливаете сертификат на клиенте.

Если число компьютеров рабочей группы относительно велико, вы можете инвестировать в Веб-службы ADCS. Вот упрощенная версия на блоге AskDS: Включение CEP и CES для регистрации компьютеров вне домена для сертификатов

Я ответил на вопрос ServerFault, похожий на этот, основываясь на второй ссылке в ответе от @Crypt32

Я не знаю, удовлетворяет ли этот ответ автора вопроса, потому что, похоже, он нацелен на ручное создание запросов на сертификаты с использованием утилит certutil/certreq. Если у вас есть Active Directory, и она доступна через сеть с компьютера, не присоединенного к домену, то, на мой взгляд, этот вопрос предоставляет самый простой метод.