使用 ADCS 实现具有多个下属的 2 级 PKI 的最佳方法

使用 ADCS 实现具有多个下属的 2 级 PKI 的最佳方法

我正在寻找一些指南,以了解如何以最佳方式设置具有 2 个下属 CA 的 ADCS 的 Tier 2 PKI,以实现高可用性。我对此有以下疑问:

  • 如果我想避免高复杂性,对下属进行集群化是最好的方法吗?(环境中没有负载平衡器)
  • 我什么时候应该构建这个高可用性组件?我是否应该先设置两个子 CA,对它们进行认证,然后开始对它们进行集群?
  • 如果我打算在我集群的下属上运行 OCSP,我需要如何配置 OCSP?

答案1

您最初的问题中的信息太少了。但是如果您正在寻找集群解决方案,请记住,ADCS 不支持负载平衡。当任何给定时间只有一个节点处于活动状态时,ADCS 支持双节点服务器集群。

对于网络中的 ADCS 故障转移群集实施,我建议阅读官方 Microsoft 白皮书:故障转移群集和 Active Directory 证书服务。本白皮书将涵盖 ADCS 集群、准备以及逐步安装和配置的所有重要方面。

如果我打算在我集群的下属上运行 OCSP,我需要如何配置 OCSP?

您不得将 ADCS 认证机构角色与任何其他角色组合。您应使用专用服务器来托管 OCSP 服务器。此外,OCSP 服务器不得用于 CRL 分发点。在最简单的 OCSP ADCS 实施中,您将需要以下单独的主机:

  1. CA 群集节点 A
  2. CA 群集节点 B
  3. CRL 分发(任何 Web 服务器都可以)
  4. OCSP 服务器

如果要提供 OCSP 冗余,可以设置多个 OCSP 服务器并创建 OCSP 服务器阵列。有关配置 Microsoft OCSP 服务器的更多信息:在线响应程序安装、配置和故障排除指南

相关内容