我正在寻找一些指南,以了解如何以最佳方式设置具有 2 个下属 CA 的 ADCS 的 Tier 2 PKI,以实现高可用性。我对此有以下疑问:
- 如果我想避免高复杂性,对下属进行集群化是最好的方法吗?(环境中没有负载平衡器)
- 我什么时候应该构建这个高可用性组件?我是否应该先设置两个子 CA,对它们进行认证,然后开始对它们进行集群?
- 如果我打算在我集群的下属上运行 OCSP,我需要如何配置 OCSP?
答案1
您最初的问题中的信息太少了。但是如果您正在寻找集群解决方案,请记住,ADCS 不支持负载平衡。当任何给定时间只有一个节点处于活动状态时,ADCS 支持双节点服务器集群。
对于网络中的 ADCS 故障转移群集实施,我建议阅读官方 Microsoft 白皮书:故障转移群集和 Active Directory 证书服务。本白皮书将涵盖 ADCS 集群、准备以及逐步安装和配置的所有重要方面。
如果我打算在我集群的下属上运行 OCSP,我需要如何配置 OCSP?
您不得将 ADCS 认证机构角色与任何其他角色组合。您应使用专用服务器来托管 OCSP 服务器。此外,OCSP 服务器不得用于 CRL 分发点。在最简单的 OCSP ADCS 实施中,您将需要以下单独的主机:
- CA 群集节点 A
- CA 群集节点 B
- CRL 分发(任何 Web 服务器都可以)
- OCSP 服务器
如果要提供 OCSP 冗余,可以设置多个 OCSP 服务器并创建 OCSP 服务器阵列。有关配置 Microsoft OCSP 服务器的更多信息:在线响应程序安装、配置和故障排除指南