我正在考虑使用证书来保护我的工作环境,因此有几个问题。
我的 Active Directory 域是 domain.com。如果我从 COMODO 购买商业通配符 SSL 证书,是否可以创建 S/MIME 用户证书(在域控制器上安装 CA 后:dc.domain.com)?
认证路径为:COMODO CA -> 中间 CA -> *.domain.com ->[电子邮件保护]
这是可行的吗?还是我应该从 COMODO 为每个用户购买单独的证书?如果是这样,我的组织之外的人会信任该证书吗?
第二个问题是关于 S/MIME 证书部署。是否有用于分发用户证书、将其附加到电子邮件帐户并发布 GAL 的 GPO?
谢谢您的任何建议。
答案1
不,那样不行。您从商业 CA 购买的证书没有资格签署其他证书。为了签署其他证书,您的证书必须具有Basic Constraints证书扩展,并将isCA位设置为 1。但是,从商业提供商处购买的所有证书都将此位设置为 0。虽然从技术上讲,可以创建这样的配置,但由于证书验证失败,它不会起作用。
您应该为每个邮件地址购买单独的证书。
在域控制器上安装 CA 后:dc.domain.com
请注意:切勿在域控制器上安装 CA。如果安装,应安装在专用服务器上。