跨森林證書頒發機構

尋求有關設置多層/跨林 PKI 基礎架構的材料的幫助。我能遇到的唯一文章只是在一個域上設置基本的兩層系統。

基本上我們有一個管理域（我們似乎每年都收購公司，所以我們有這個來幫助整合過程）。讓我們稱之為 domain1.com。我們成功地在 domain1.com 中以兩層格式設置了 CA（離線根和線上企業 subca）。

subca.domain1.com

現在我不確定如何獲得新域 domain2.com，所以從 domain1.com subca 獲取證書。微軟說我需要為每個與 domain1.com 相關的不同域創建一個 subca

subca.domain2.com

這聽起來對嗎？當 root 權限在 domain1 中時，如何​​配置 subca.domain2.com 以將證書發佈到 domain2.com 域控制器？最終可傳遞成果是開始在 domain2.com 中執行 LDAPS。感謝任何可以指出我正確方向的人…

Microsoft 的立場是正確的，但需要澄清一下：通常您需要為每個forest部署單獨的 CA 伺服器。例如，您不需要在 corp.domain1.com 域中部署單獨的 CA。

最終，有兩種支持的解決方案：

1. 就像微軟所說的，你必須在每個獲得的 AD 森林中部署一個單獨的 CA。在這種情況下，每個 CA 都有一個單獨的授權機構，並且只能向各自的林客戶端頒發證書。
2. 通過將 Windows Server 2008 R2（或更高版本）作為父林中的 CA，您可以建立跨林證書註冊：AD CS：部署跨林證書註冊。這需要林之間的雙向信任。這將允許使用位於父林中的 CA 伺服器將證書部署到所有受信任的林客戶端。

任何一種選擇都需要一些行政工作。但是，如果您要將獲得的森林遷移到父森林，或者集中管理它們，我會選擇選項 2。否則，如果每個森林都有專門的 IT 人員，選項 1 會更合適。

另外，我想回顧一下Enrollment Web Services，它可以簡化跨林的證書註冊過程。您甚至不需要執行 AD PKI 對象同步，因為客戶端將使用 CEP/CES 伺服器進行註冊。

引用自：https://serverfault.com/questions/703829