Cómo deshabilitar el nombre alternativo del firmante para la asignación de UPN

Número de KB original: 4043463
Se aplica a: Versiones admitidas de Windows Server y el cliente de Windows

La asignación de nombre principal de usuario (UPN) es un caso especial de asignación uno a uno que se usa en Active Directory. En este artículo se describe cómo usar una asignación explícita en lugar de una asignación de UPN deshabilitando el nombre alternativo del firmante (SAN) a través del Editor del Registro. Al realizar los pasos siguientes, se permitirá el uso de una asignación explícita ignorando la extensión SAN de un certificado de cliente implementado.

Lado servidor

1. Abra el Editor del Registro.
2. Ir a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc\UseSubjectAltName.
3. Haga clic con el botón derecho en UseSubjectAltName, seleccione Modificar datos binarios y, a continuación, establezca los datos de valor en 0.

Nota

El valor de la clave del Registro UseSubjectAltName debe establecerse en 0 en todos los centros de distribución de claves (KDC) para el dominio.

Lado cliente

Nota

También debe realizar los pasos en el lado cliente si se cumplen las condiciones siguientes:

• Se usa la asignación de certificados de cliente (AltSecID).
• Un UPN se usa en la extensión SAN de un certificado de cliente.
• No se usa ninguna sugerencia de dominio.

Aquí se muestra cómo deshabilitar la SAN para la asignación de UPN en el lado cliente:

1. Abra el Editor del Registro.
2. Ir a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
3. Presione y mantenga presionado (haga clic con el botón derecho) Parámetros, seleccione Nuevo>valor DWORD (32 bits) y, a continuación, asígnele el nombre UseSubjectAltName. Haga doble clic en él, establezca los datos de valor en 0 y presione Entrar.

Referencia

Para obtener más información sobre la asignación de SAN o UPN, consulte Flujo de inicio de sesión de tarjeta inteligente en Enumeración de certificados.