Certificate

跨森林證書頒發機構

  • April 26, 2018

尋求有關設置多層/跨林 PKI 基礎架構的材料的幫助。我能遇到的唯一文章只是在一個域上設置基本的兩層系統。

基本上我們有一個管理域(我們似乎每年都收購公司,所以我們有這個來幫助整合過程)。讓我們稱之為 domain1.com。我們成功地在 domain1.com 中以兩層格式設置了 CA(離線根和線上企業 subca)。

subca.domain1.com

現在我不確定如何獲得新域 domain2.com,所以從 domain1.com subca 獲取證書。微軟說我需要為每個與 domain1.com 相關的不同域創建一個 subca

subca.domain2.com

這聽起來對嗎?當 root 權限在 domain1 中時,如何​​配置 subca.domain2.com 以將證書發佈到 domain2.com 域控制器?最終可傳遞成果是開始在 domain2.com 中執行 LDAPS。感謝任何可以指出我正確方向的人…

Microsoft 的立場是正確的,但需要澄清一下:通常您需要為每個forest部署單獨的 CA 伺服器。例如,您不需要在 corp.domain1.com 域中部署單獨的 CA。

最終,有兩種支持的解決方案:

  1. 就像微軟所說的,你必須在每個獲得的 AD 森林中部署一個單獨的 CA。在這種情況下,每個 CA 都有一個單獨的授權機構,並且只能向各自的林客戶端頒發證書。
  2. 通過將 Windows Server 2008 R2(或更高版本)作為父林中的 CA,您可以建立跨林證書註冊:AD CS:部署跨林證書註冊。這需要林之間的雙向信任。這將允許使用位於父林中的 CA 伺服器將證書部署到所有受信任的林客戶端。

任何一種選擇都需要一些行政工作。但是,如果您要將獲得的森林遷移到父森林,或者集中管理它們,我會選擇選項 2。否則,如果每個森林都有專門的 IT 人員,選項 1 會更合適。

另外,我想回顧一下Enrollment Web Services,它可以簡化跨林的證書註冊過程。您甚至不需要執行 AD PKI 對象同步,因為客戶端將使用 CEP/CES 伺服器進行註冊。

引用自:https://serverfault.com/questions/703829