是否可以在 Windows Server 2012 中创建多个证书颁发机构?具体来说:我想创建一个独立的根 CA,其私钥将存放在离线安全存储中。主颁发(企业)CA 应该拥有由根 CA 签名的证书。
是否仅通过安装 1 个 Windows Server 2012 就可以实现这一点,或者是否真的需要创建多个 VM,每个 VM 都有一个 CA?
答案1
在单个 Windows Server OS 实例上一次只能拥有一个 AD CS 证书服务器。
编辑:此外,如果您要认真考虑根 CA 的物理安全性,请不要将其设为 VM。VM 可以从 VM 管理控制台启动,然后受到攻击。将其设为物理机器,使用它来设置策略 CA 和颁发 CA,然后将以太网电缆从根 CA 机器中拔出并关闭电源。(对于企业(AD 集成)CA,您实际上无法做到这一点,但这是一个完全不同的话题。)