寻求有关设置多层/跨林 PKI 基础设施的材料帮助。我唯一能找到的文章只是在一个域上设置基本的两层系统。
基本上,我们有一个管理域(我们似乎每年都会收购公司,因此我们拥有这个域来帮助整合过程)。我们将其称为 domain1.com。我们成功地在 domain1.com 中以两层格式(离线根和在线企业子 CA)设置了一个 CA。
subca.domain1.com
现在我不确定如何获取新域名 domain2.com,因此请从 domain1.com 子证书颁发机构获取证书。微软表示,我需要为每个与 domain1.com 关联的不同域名创建一个子证书颁发机构
subca.domain2.com
这听起来对吗?当根权限在 domain1 中时,如何配置 subca.domain2.com 以将证书发布到 domain2.com 域控制器中?最终交付成果是开始在 domain2.com 中执行 LDAPS。感谢任何能为我指明正确方向的人...
答案1
微软的立场是正确的,但需要澄清一点:通常你需要为每个 CA 部署一个单独的 CA 服务器。*森林*。例如,您不需要在corp.domain1.com域中部署单独的CA。
最终,有两种支持的解决方案:
就像微软说的,你必须在每个获得的 AD 林中部署一个单独的 CA。在这种情况下,每个 CA 都有单独的颁发机构,只能向各自的林客户端颁发证书。
通过将 Windows Server 2008 R2(或更新版本)作为父林中的 CA,您可以建立跨林证书注册:AD CS:部署跨林证书注册。这需要林之间的双向信任。这将允许使用位于父林中的 CA 服务器将证书部署到所有受信任的林客户端。
任何一种选择都需要一些管理工作。但是,如果您要将收购的森林迁移到父森林,或集中管理它们,我会选择选项 2。否则,如果每个森林都有专门的 IT 人员,选项 1 会更合适。
此外,我想提醒大家的是招生 Web 服务,这简化了跨林证书注册过程。您甚至不需要执行 AD PKI 对象同步,因为客户端将使用 CEP/CES 服务器进行注册。