[Pili]

Шаблоны сертификата SmartcardUser и SmartcardUser на ЦС уже должны быть, разрешение на выдачу этого шаблона, если ещё не настроено, надо настроить. Политику выдачи сертификатов подчиненный ЦС берет с вышестоящего ЦС
Запрос на сертификат можно формировать из веб интерфейса ЦС (его кстати можно посмотреть на клиенте и на ЦС, сохранить запрос и, с помошью cerutil записать в txt), при этом криптопровайдер должен поддерживать работу со смарткартами (напр. etoken)
Сертификат, в итоге, будет содержать следующие OID (вырезка из своего)

Цитата:

Certificate Extensions: 9 2.5.29.15: Flags = 0, Length = 4 Key Usage Digital Signature, Key Encipherment (a0) 1.2.840.113549.1.9.15: Flags = 0, Length = 37 SMIME Capabilities [1]SMIME Capability Object ID=1.2.840.113549.3.2 Parameters=02 02 00 80 [2]SMIME Capability Object ID=1.2.840.113549.3.4 Parameters=02 02 00 80 [3]SMIME Capability Object ID=1.3.14.3.2.7 [4]SMIME Capability Object ID=1.2.840.113549.3.7 2.5.29.14: Flags = 0, Length = 16 Subject Key Identifier fe 23 2b f5 2a e3 f8 e0 1b 4c d8 49 84 75 31 92 5f 72 ae 96 1.3.6.1.4.1.311.20.2: Flags = 0, Length = 1c Certificate Template Name SmartcardUser 2.5.29.35: Flags = 0, Length = 18 Authority Key Identifier KeyID=e9 51 78 97 01 58 b2 c7 07 3b 3f 96 67 f7 8c df 76 0a d1 37 2.5.29.31: Flags = 0, Length = f3 CRL Distribution Points [1]CRL Distribution Point Distribution Point Name: Full Name: URL=ldap:///почикано 1.3.6.1.5.5.7.1.1: Flags = 0, Length = ee Authority Information Access [1]Authority Info Access Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2) Alternative Name: URL=ldap:/// [2]Authority Info Access Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2) Alternative Name: URL=http://почикано 2.5.29.37: Flags = 0, Length = 22 Enhanced Key Usage Secure Email (1.3.6.1.5.5.7.3.4) Client Authentication (1.3.6.1.5.5.7.3.2) Smart Card Logon (1.3.6.1.4.1.311.20.2.2) 2.5.29.17: Flags = 0, Length = 2e Subject Alternative Name Other Name: Principal Name=почикано RFC822 Name=почикано Signature Algorithm: Algorithm ObjectId: 1.2.840.113549.1.1.5 sha1RSA Algorithm Parameters: 05 00

[vs2008]

стандартные шаблоны типа смарткардюзер и смарткардлогон - настраиваются в Enterprise CA, а мы его поставить не можем ( т.к. мы поддомен в лесу, а чтоб поставить ентерпрайз ЦС - нужны права админа леса) , поэтому настраиваем stand-alone, а в нем никакие шаблрны не применимы. Но где то там же есть нстаройки стандартного сертификата, чтоб добавить дополнительные поля - Subject Alternative Name. Вопрос в том, как это делается, где его искать и как правильно добавить в сертификат эти поля.

[Pili]

vs2008, сертификаты, полученные через stand-alone CA, имхо, не смогут исп-ся для винлогона, вам не нужен Enterprise CA, вам нужен подчиненный СА в домене, где будет производится вход по смарткартам, запрос на сертификат от подчинненого ЦС можно сформировать на этапе установки, права на этот ЦС настроить (можно делегировать)