Active Directory CA 可以為單向受信任域頒發證書嗎?
我們的網路主要由我們內部域上的 Windows 伺服器組成,由 Active Directory (natch) 管理。我們還有少量的 Linux 伺服器,出於某種原因,它們由 IDM 管理。同樣出於某些原因,IDM 設置了對 AD 的單向信任(IDM 信任 AD),以方便在單個位置進行使用者管理(這無法更改)。
目前我們有三個域名(更改名稱以保護無辜者):
- 內部.dom
- windows.internal.dom
- linux.internal.dom
linux.internal.dom 在 IDM 伺服器上維護,另外兩個在 AD 上。由於 IDM 和 AD 之間的信任是單向的,因此在 AD UI 中是不可見的。其他的,當然在 AD 中是可見的,因為那是它們被維護的地方。
我們正在設置 AD 證書服務,以便我們可以為每個域頒發證書。但是,由於 linux.internal.dom 位於僅具有單向信任的 IDM 上,因此不會出現在 AD 中,因此無法在 UI 中為其創建證書。最終,我們無論如何都不會使用 UI,因為自動化/腳本化方法會更有效。
所以,現在我的問題是:AD CA 是否可以為不完全受信任的(子)域頒發證書?也就是說,我們能否為 linux.internal.dom 頒發證書,即使它沒有出現在 AD UI 中?
您控制 CA;因此,您可以為您想要的任何名稱頒發證書。如果您願意,可以為 linux.bobsyouruncle.com 頒發證書。任何信任此 CA 的客戶端都應該相應地信任從它或其從屬 CA 頒發的證書。
在任何情況下,Active Directory 信任及其方向性都必須與證書頒發機構的信任鏈分離。
這個過程的一個很好的例子是防火牆執行流量分析的 SSL 檢查 - 可以說是中間人的合法案例。對於加密網站的每個請求,相關防火牆(通常通過透明代理)為相關外部資源的 FQDN 生成可信(但在技術上是虛假的)證書。