具有離線根的 Windows PKI(可能使用 OpenSSL)- 可能嗎?
我正在嘗試設置一個兩層 PKI,但我有很多問題。由於 AD 有墓碑限制,我假設根(將離線)不應該是 AD 的一部分。我對麼?
我正在考慮的設置是一個根 CA 和多個中間體(用於不同目的)。因此,根可能是獨立的 Windows 標准或 Linux + OpenSSL(不知道這是否可能/可取)。中間 CA 之一將成為 AD 的一部分(自動註冊等)。
所以,我的問題是:
根可以是獨立的(不是 AD 的一部分)嗎?這會導致證書鍊等出現任何問題嗎?
根可以是 Linux + OpenSSL 嗎?這會更難管理嗎?
或者有墓碑限制的解決方法嗎?
謝謝。
請參閱:http: //blogs.technet.com/b/askds/archive/2009/10/13/designing-and-implementing-a-pki-part-ii.aspx$$ 1 $$和http://pki-tutorial.readthedocs.org/en/latest/advanced/index.html$$ 2 $$供參考。
微軟規定離線的根 CA 機器不應該是域的成員,所以它不會給你帶來任何問題,它使整個 AD 墓碑生命週期問題變得毫無意義。以機智:
設置一個執行 Windows 的伺服器,您將使用它作為根證書頒發機構。伺服器不應該是任何域的成員,應該與網路斷開連接,並且應該是物理安全的。
我沒有嘗試對 OpenSSL 和 Windows CA 進行廣泛的互操作性測試,但原則上,它應該可以正常工作——它都是基於標準的 PKI。當然,我已經多次使用 OpenSSL 為 Windows 伺服器簽署了證書,但沒有任何不良影響。只要您習慣使用 OpenSSL 工具為您的第二層 CA 頒發證書,它就不會給您帶來任何特定的管理問題。
我認為使用一組工具和另一組工具部署根 CA 並沒有什麼特別的價值。你當然可以,但我不明白這如何“買”你任何東西。