我正在设置 Microsoft AD 作为我的 CA。经过研究,似乎我需要有一个域控制器,然后才能通过 CA 颁发证书。是否可以将 CA 和 DC 放在同一台服务器上?
答案1
您需要加入域才能成为企业CA,但您无需加入域即可成为独立 CA。企业 CA 增加了与 Active Directory 集成的功能,但缺点是您无法像使用高安全性根 CA 那样将其脱机。
是的,可以将 AD CS 安装在与域控制器相同的服务器上。但实际上并不推荐这样做。最佳做法是让域控制器仅作为域控制器。您在一个系统上安装的服务越多,当该系统发生故障时,您丢失的服务就越多。
编辑:您还可以探索更强大的设计,例如拥有离线根 CA 和企业颁发 CA。