我正在努力实现以下目标;
环境是一个具有根域和 x2 子域的单一森林,如下所示;
根.net
子1.根.net
子2.根.net
child1 和 child2 之间将没有逻辑或物理访问,因为一个是生产域,另一个是开发域。
两个域都需要完全独立的证书服务机构来分发和管理其各自域内的内部证书。两个域都有各自独立的离线根 CA。
这个设置是否存在任何问题(任何 AD 注册问题等)或者是否有更好的方法来部署它,请记住 AD 设置不能更改?(必须保留单林和 x2 子域模型)。
答案1
需要理解的一件事是:ADCS 是全林服务。也就是说,一旦安装了 Enterprise CA,它就会在 Active Direcotry 中注册,即配置命名上下文。您可能知道(至少应该知道),配置命名上下文在以下两个目录之间复制:全部林中的域控制器。
最近我们在 TechNet 论坛上进行了类似的讨论,我和 Mark B. Cooper 解释了这种情况的所有困难:https://social.technet.microsoft.com/Forums/en-US/0594d63c-bfc3-4868-b173-1163cc0e997a/ca-query?forum=winserversecurity
简而言之,这是可行的,但它需要额外的管理开销,并且不能提供真正的隔离。在这种情况下,将域拆分为单独的林是合理的(这也是一项不简单的任务)。
答案2
因此会有两个离线根,每个子域专用一个?
考虑到您想要的访问限制,将离线根放在子域中似乎更有意义 - 因为它们无论如何都是离线的,所以您不会因此失去任何安全性。
假设使用离线根,它们将是独立的而不是企业级的,因此您将手动将这些证书的信任部署到每个子域中?将它们放在根域中只会增加不必要的复杂性。