这可能是一个愚蠢的问题,但我不想冒险搞乱一个正常的系统。
我们有两个独立的 Active Directory,例如“example.local”和“example.com”。两者之间存在信任,因此这些域实际上是相互关联的。
我们将在几天内安装一个新软件,它需要与两个域建立安全的 LDAP 连接(通过 SSL 的 LDAP)。目前没有可用的 CA。
根据微软我们必须建立一个CA,创建一个新的服务器身份验证证书并将其分发给所有DC。
我想知道我是否也必须将相同的证书分发给其他域的 DC?或者我必须设置两个单独的 CA(每个域一个)并将每个证书仅分发给它们相应的 DC?我有点困惑,提前致歉!
答案1
感谢@GregAskew,我找到了一位官方Microsoft 指南。
基本上整个过程可以分为四个步骤:
- 在资源林(部署 ADCS 的林)和帐户林之间创建双向信任。
- 在资源林中配置CA以支持跨林注册。
- 复制证书模板。
- 将 PKI 对象复制到账户林。