我正在尝试在两个互不信任的林之间建立信任,我想使用交叉证书或 Bridge CA 解决方案(不使用 AD 信任或 CEP)。我发现很多建议都说可以做到这一点,但我找不到任何关于如何实际做到这一点的信息。
(图片似乎没有显示 - 它们在 Google 幻灯片中:下面 3 张照片)
画完这些图后,我发现我遗漏了一些东西,因为我看不到交叉认证链接是如何或在哪儿存储的。
到目前为止,我完全无法让一个 CA 签署来自另一个 CA 层次结构的任何东西(证书、CA、请求)。我这样做对吗?任何关于如何交叉签署任何东西的指示,或者我的图表是否正确,都会很棒。很抱歉,这有点模糊,但我真的不知道该怎么做。
谢谢,
吉姆
答案1
好的,似乎与 Active Directory 而非 PKI 相关的森林信任没有任何关系。PKI 信任和 AD 信任是不同的东西。您在图表中展示的是合格的 PKI 信任,它们看起来是正确且有效的。
简而言之,您需要简单的合格从属关系。当 PKI 信任中有超过 3 个参与者时,桥接 CA 是合适的。您针对依赖方的 CA 颁发交叉证书,并在您的林成员之间分发此证书。在此过程中,您必须进行规划:
- 你们接受哪些类型的证书(由 EKU 颁发)?
- 您是否想要映射特定的证书策略?
- 您会信任哪些命名空间?
- 等等
当所有信任条件都定义好后,您的步骤如下:
- 获取依赖方的 CA 证书
- 准备
policy.inf
文件并定义信任条件(应用程序策略约束、证书策略约束、策略映射(如果有)、名称约束等) - 使用
certreq -policy path\remotecacert.cer path\policy.inf path\policy.req
命令生成交叉证书请求 - 将其提交给本地 CA 服务器并颁发证书
- 通过在 AD 中发布证书,将证书分发给所有 AD 林成员:
certutil -dspublish -f crosscert.cer CrossCA
。如有必要,将证书分发给非域成员(手动或 MDM 软件)。
不幸的是,微软埋没了很多很棒的白皮书,没有更新到新版本,文章也不容易找到。不过,你可以下载完整的Windows Server 2003 已停用内容存档并找到名为“使用 Windows Server 2003 规划和实施交叉认证和合格从属关系“。本节将深入提供有关该主题的所有必要细节。
答案2
对已接受的答案进行评论。
MS 在这里重新发布了这份白皮书: https://technet.microsoft.com/library/cc787237(v=ws.10)
对于想要快速了解交叉认证的人,我推荐上述论文此部分中的插图:https://technet.microsoft.com/library/cc785267(v=ws.10)#cross-certification-between-root-cas 即,它很好地说明了交叉认证为交叉认证的 CA 创建了一个“替代”证书。