域環境 + 證書頒發機構 + Server 2008 R2

我最近被委派了在我們的域環境中設置 CA 的任務，並且有一個問題是為什麼微軟會以他們的方式做事，哈哈。我一直在嘗試了解執行此任務的最佳實踐，並決定在理想的 CA 環境中，您應該有一個“離線”根 CA，然後是兩個從屬 CA，用於冗餘/頒發證書。這一切都很好，我理解它是如何工作的以及為什麼，但是在弄亂我設置的沙箱時，你將證書頒發機構添加到域環境的方式似乎非常微不足道，並且違背了他們所有的最佳實踐……

有誰知道集成到 Active Directory 中的企業根 CA 的目的是什麼？根據我的閱讀，一旦您設置了集成到 Active Directory 中的企業根 CA，它就會長期保留在 Active Directory 中，並且在任何情況下都不得關閉/重命名/觸摸。如果這是真的，這似乎與設置獨立根 CA、添加下屬、然後使根離線的做法背道而馳。

感謝您提供的任何回饋！

根 CA 可以很容易地成為企業 CA，因為在某些情況下這種部署是有意義的。許多部署根本不需要或不需要離線獨立根或任何中間體；這些可以與企業根一起正常工作。例如，如果您發布的模板不超過幾個長期存在的模板（因此可用性不是一個大問題）並且不需要經常發布 CRL。

我同意你的觀點，只是放棄一個計劃不周的 CA 有點太容易了 - 你在查看文件後會意識到應該如何仔細地計劃它們，但是當你進行安裝時並不明顯（不要讓我開始同時需要和默默無聞capolicy.inf- 把這些東西放在 GUI 中！）。

我已經處理了清理這些半生不熟的部署，比我願意承認的要多，但是將它們拉下來肯定是可行的（確保所有客戶端都信任新根，從舊 CA 中剝離模板，提升模板版本強製針對新 CA 重新註冊）；與最初草率的部署相比，它只需要更多的工作和仔細的計劃。

引用自：https://serverfault.com/questions/394588