如何在 ADCS 中创建交叉证书(或桥接 CA)?

如何在 ADCS 中创建交叉证书(或桥接 CA)?

我正在尝试在两个互不信任的林之间建立信任,我想使用交叉证书或 Bridge CA 解决方案(不使用 AD 信任或 CEP)。我发现很多建议都说可以做到这一点,但我找不到任何关于如何实际做到这一点的信息。

(图片似乎没有显示 - 它们在 Google 幻灯片中:下面 3 张照片

以下是我所拥有的: 2 个森林不信任

我想添加这样的信任: 增加了交叉认证

为了达成这个: 在此处输入图片描述

画完这些图后,我发现我遗漏了一些东西,因为我看不到交叉认证链接是如何或在哪儿存储的。

到目前为止,我完全无法让一个 CA 签署来自另一个 CA 层次结构的任何东西(证书、CA、请求)。我这样做对吗?任何关于如何交叉签署任何东西的指示,或者我的图表是否正确,都会很棒。很抱歉,这有点模糊,但我真的不知道该怎么做。

谢谢,

吉姆

答案1

好的,似乎与 Active Directory 而非 PKI 相关的森林信任没有任何关系。PKI 信任和 AD 信任是不同的东西。您在图表中展示的是合格的 PKI 信任,它们看起来是正确且有效的。

简而言之,您需要简单的合格从属关系。当 PKI 信任中有超过 3 个参与者时,桥接 CA 是合适的。您针对依赖方的 CA 颁发交叉证书,并在您的林成员之间分发此证书。在此过程中,您必须进行规划:

  • 你们接受哪些类型的证书(由 EKU 颁发)?
  • 您是否想要映射特定的证书策略?
  • 您会信任哪些命名空间?
  • 等等

当所有信任条件都定义好后,您的步骤如下:

  • 获取依赖方的 CA 证书
  • 准备policy.inf文件并定义信任条件(应用程序策略约束、证书策略约束、策略映射(如果有)、名称约束等)
  • 使用certreq -policy path\remotecacert.cer path\policy.inf path\policy.req命令生成交叉证书请求
  • 将其提交给本地 CA 服务器并颁发证书
  • 通过在 AD 中发布证书,将证书分发给所有 AD 林成员:certutil -dspublish -f crosscert.cer CrossCA。如有必要,将证书分发给非域成员(手动或 MDM 软件)。

不幸的是,微软埋没了很多很棒的白皮书,没有更新到新版本,文章也不容易找到。不过,你可以下载完整的Windows Server 2003 已停用内容存档并找到名为“使用 Windows Server 2003 规划和实施交叉认证和合格从属关系“。本节将深入提供有关该主题的所有必要细节。

答案2

对已接受的答案进行评论。

MS 在这里重新发布了这份白皮书: https://technet.microsoft.com/library/cc787237(v=ws.10)

对于想要快速了解交叉认证的人,我推荐上述论文此部分中的插图:https://technet.microsoft.com/library/cc785267(v=ws.10)#cross-certification-between-root-cas 即,它很好地说明了交叉认证为交叉认证的 CA 创建了一个“替代”证书。

答案3

相关内容