Дополню по проблеме с необходимостью настройки эндпоинтов под каждый шаблон, она нам очень знакома :) Мы столкнулись с ней в рамках реализации поддержки протокола SCEP в нашем продукте. Суть проблемы заключалась в том, что на стороне scep-клиента не всегда есть возможность добавить в запрос на сертификат расширение с именем / OID шаблона, но в тоже время CA, если он поддерживает работу с шаблонами, должен каким-то образом соотнести запрос с тем или иным шаблоном. В итоге мы решили вопрос реализовав динамическую публикацию SCEP-эндпоинтов под каждый шаблон, доступный для SCEP. Такой подход, с одной стороны, позволил не нагружать дополнительными требованиями клиентскую часть (тем более это не всегда доступно), а с другой стороны, сохранить полную поддержку всего функционала шаблонов.
Хорошее решение, закрыт вопрос аутентификации, справедливый для того же SCEP, тем более, если работает стабильно. Вы использовали что-то для автоматизации, например, Ansible или подобные решения?
Дополню по проблеме с необходимостью настройки эндпоинтов под каждый шаблон, она нам очень знакома :) Мы столкнулись с ней в рамках реализации поддержки протокола SCEP в нашем продукте. Суть проблемы заключалась в том, что на стороне scep-клиента не всегда есть возможность добавить в запрос на сертификат расширение с именем / OID шаблона, но в тоже время CA, если он поддерживает работу с шаблонами, должен каким-то образом соотнести запрос с тем или иным шаблоном.
В итоге мы решили вопрос реализовав динамическую публикацию SCEP-эндпоинтов под каждый шаблон, доступный для SCEP. Такой подход, с одной стороны, позволил не нагружать дополнительными требованиями клиентскую часть (тем более это не всегда доступно), а с другой стороны, сохранить полную поддержку всего функционала шаблонов.
Хорошее решение, закрыт вопрос аутентификации, справедливый для того же SCEP, тем более, если работает стабильно. Вы использовали что-то для автоматизации, например, Ansible или подобные решения?