我最近被委派了一项任务,在我们的域环境中设置 CA,并且对微软为什么这样做有些事情很疑惑,哈哈。我一直在尝试了解完成这项任务的最佳实践,并决定在理想的 CA 环境中,您应该有一个“离线”根 CA,然后有两个下属 CA 用于冗余/颁发证书。这一切都很好,我理解这是如何工作的以及为什么,但在摆弄我设置的沙箱时,向域环境添加证书颁发机构的方式似乎极其琐碎,并且违背了他们所有的最佳实践……
有人知道集成到 Active Directory 中的企业根 CA 的用途吗?据我所知,一旦您设置了集成到 Active Directory 中的企业根 CA,它就会长期与 Active Directory 在一起,在任何情况下都不能关闭/重命名/触碰。如果这是真的,这似乎违背了设置独立根 CA、添加下属,然后使根脱机的做法。
感谢您提供的任何反馈!
答案1
根 CA 可以轻松转变为企业 CA,因为在某些情况下,这种部署是有意义的。许多部署不需要离线独立根或任何中间体;这些都可以与企业根配合使用。例如,如果您不发布超过几个长期模板(因此可用性不是一个大问题)并且不需要经常发布 CRL。
我完全同意你的观点,抛出一个计划不周的 CA 实在是太容易了 — — 在查看了文档之后,你就会意识到应该如何仔细地规划它们,但是在安装时却并不明显(而且不要让我开始谈论同时存在的必要性和模糊性 — capolicy.inf— 把这些东西放在 GUI 中!)。
我已经处理过很多次清理这些不成熟的部署的事情,但把它们撤下来是绝对可行的(确保所有客户端都信任新的根,从旧 CA 中删除模板,升级模板版本以强制重新注册到新的 CA);只是它需要比最初的草率部署更多的工作和更仔细的规划。