我有 Windows 2003 AD,并且设置了根 CA 和子 CA,两者都是 Windows 2008(已加入域)。我需要使用子 CA 生成最终用户证书以进行数字签名,它们应该能够从 URL 生成(自行注册)。有人可以建议我是否可以完成此操作吗?
a. 没有对 ad? ad 2003 至 ad 2008 进行架构更新
b. 或者让它们独立?模板会这样工作吗?
答案1
不,您不需要架构扩展即可使用 2008 CA。请参阅Windows PKI 功能的 AD 架构要求。
最好使用企业下属机构,而不是独立下属机构。不过,使用独立根 CA 也很常见。
PKI 是您应该在实施之前进行规划的东西(而不是尝试稍后进行改进)。您可能会被那里的文档数量吓到。不过,我建议您从 Microsoft 支持工程师发布的 AskDS 博客上的内容开始查看文档。
看设计和实施 PKI:第一部分设计和规划以及其他系列附带的博客,为您设计公司 PKI 实施提供良好的介绍。