我有一个由公共第三方 CA 颁发的通配符 SSL 证书 (*.ourdomain.com) + 信任链,我已将其部署到域中的所有 Windows 服务器上。但我们的环境已经超出了我们的部署脚本,我需要一种更好的方法来管理和审核域中的证书(每台服务器上的证书列表、证书何时到期、在新部署的服务器上安装证书)。
我最初的研究表明 Active Directory 证书服务 (ADCS) 是一种解决方案。这似乎可以很好地充当自己的 CA,证书是在 ADCS 机器上生成的,但我不清楚如何将 ADCS 与第三方证书一起使用。这是否可行或值得推荐?
答案1
您不使用 Active Directory 证书服务来管理第三方证书。AD CS 不是资产跟踪或库存系统。(在这种情况下,您的“资产”是您的 SSL 证书集合。)
从组织的角度来看,我会说您需要一个 CMDB/资产跟踪系统,能够将 SSL 证书作为 CI(配置项……抱歉,有点 ITIL 的说法)进行跟踪。
但是至于您应该使用什么产品,我无法说,因为产品推荐与 Serverfault 无关。
答案2
如果证书需要在整个域范围内部署,您不使用 GPO 部署证书有什么特殊原因吗?您可以向 GPO 添加/删除证书,然后 GPO 将管理证书的部署/删除。
其次,不确定您如何才能超越脚本,定义良好的脚本应该很容易适用于 1,000 个系统。也许是您执行脚本的方式?例如,您是否在为中央系统分配任务,让其出去轮询/部署证书?或者……您是否让您的所有客户都运行一个脚本,让他们将结果上传到给定的目录?后者具有更好的扩展能力,但可能需要付出更多努力来吸收/获取数据。您可以很容易地让客户端启动一个脚本(使用 GPP 创建计划任务),将给定计算机的结果上传到文件共享,然后循环遍历数据文件并将其添加到 DB 或甚至简单的 CSV。