我正在设置一个 PKI,最初将供内部使用。随着我们对此的使用范围扩大,我选择了三层层次结构 - 离线根 CA 和策略 CA(目前一个策略 CA 供内部使用)和在线颁发 CA。我们最初讨论过使用我们的域控制器作为颁发 CA,而不是设置专用 CA。
我现在开始怀疑让我们的 DC 颁发证书是否是个好主意。我们的用户不到 1000 人,所以我们的 DC 负担不大。
有人对这样做有什么建议或反对意见吗?
我们目前正在运行 Windows 2003 Active Directory,但明年将升级到 Windows 2008。我正在设置 Windows 2008 PKI。
答案1
有点晚了,但无论如何。通常不建议在 DC 上部署 CA 角色。这会使 AD 升级变得困难,因为您必须就地升级 DC 以适应较新的操作系统版本。如果从基于 32 位操作系统的 DC 迁移到 64 位操作系统(如 Windows Server 2008 R2),这会很尴尬。此外,由于偏好推广全新构建的 DC,而不是就地升级,当降级旧的 DC/CA 组合时,这会很尴尬。