Windows-Server-2008

域環境 + 證書頒發機構 + Server 2008 R2

  • June 2, 2012

我最近被委派了在我們的域環境中設置 CA 的任務,並且有一個問題是為什麼微軟會以他們的方式做事,哈哈。我一直在嘗試了解執行此任務的最佳實踐,並決定在理想的 CA 環境中,您應該有一個“離線”根 CA,然後是兩個從屬 CA,用於冗餘/頒發證書。這一切都很好,我理解它是如何工作的以及為什麼,但是在弄亂我設置的沙箱時,你將證書頒發機構添加到域環境的方式似乎非常微不足道,並且違背了他們所有的最佳實踐……

有誰知道集成到 Active Directory 中的企業根 CA 的目的是什麼?根據我的閱讀,一旦您設置了集成到 Active Directory 中的企業根 CA,它就會長期保留在 Active Directory 中,並且在任何情況下都不得關閉/重命名/觸摸。如果這是真的,這似乎與設置獨立根 CA、添加下屬、然後使根離線的做法背道而馳。

感謝您提供的任何回饋!

根 CA 可以很容易地成為企業 CA,因為在某些情況下這種部署是有意義的。許多部署根本不需要或不需要離線獨立根或任何中間體;這些可以與企業根一起正常工作。例如,如果您發布的模板不超過幾個長期存在的模板(因此可用性不是一個大問題)並且不需要經常發布 CRL。

我同意你的觀點,只是放棄一個計劃不周的 CA 有點太容易了 - 你在查看文件後會意識到應該如何仔細地計劃它們,但是當你進行安裝時並不明顯(不要讓我開始同時需要和默默無聞capolicy.inf- 把這些東西放在 GUI 中!)。

我已經處理了清理這些半生不熟的部署,比我願意承認的要多,但是將它們拉下來肯定是可行的(確保所有客戶端都信任新根,從舊 CA 中剝離模板,提升模板版本強製針對新 CA 重新註冊);與最初草率的部署相比,它只需要更多的工作和仔細的計劃。

引用自:https://serverfault.com/questions/394588