Этот параметр политики позволяет указать поведение клиента Kerberos при проверке сертификата KDC для смарт-карт и регистрации системного сертификата.
Если вы включаете этот параметр политики, клиент Kerberos будет требовать, чтобы в сертификате KDC X.509 в расширениях Extended Key Usage (EKU) содержался идентификатор объекта для ключа KDC, а также чтобы в сертификате KDC X.509 содержалось расширение dNSName subjectAltName (SAN), соответствующее DNS-имени домена. Если компьютер присоединен к домену, клиент Kerberos потребует, чтобы сертификат X.509 KDC был подписан центром сертификации в хранилище NTAuth. Если компьютер не присоединен к домену, клиент Kerberos позволит использовать корневой сертификат центра сертификации на смарт-карте для подтверждения пути сертификата KDC.
Если вы отключаете или не настраиваете этот параметр политики, клиент Kerberos будет требовать только, чтобы сертификат KDC содержал идентификатор объекта для проверки подлинности сервера в расширениях EKU, который может быть выдан любому серверу.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
Value Name | KdcValidation |
Value Type | REG_DWORD |
Enabled Value | 2 |
Disabled Value | 0 |