在我们的 Windows 域(2008R2 和 2012R2 服务器)中,我们正在运行域 CA。根证书是自签名证书。
我们还有来自互联网提供商的 x.509 证书(主要用于我们的网站),由受信任的互联网 CA 签名。
我想要做的是从 Windows CA 中删除自签名根证书,并将其替换为来自我们提供商的证书。
两个问题:1. 这可能吗?我可以使用来自受信任 CA 的证书作为我自己的 CA 的根证书吗?2. 不重建整个域的情况下这可能吗?我认为域控制器需要证书来进行 LDAP 通信,如果我只是切换他们用来创建自己的证书的根证书会发生什么?
感谢您的帮助!
答案1
我们还有来自互联网提供商的 x.509 证书(主要用于我们的网站),由受信任的互联网 CA 签名。
抱歉,这通常是不可能的。X.509 证书中有其中basic constraints一项,其中说明是否可以签署其他证书。通常,CA 不会向非 CA 颁发此类证书。
这是允许签署其他证书的证书的示例:
这是一个示例普通的证书 - 不允许签署其他证书:
我不会担心。实际上全部公共 CA 具有自签名根证书,那么为什么您的私有 CA 不应该也拥有自签名根证书呢?