我们的网络主要由内部域上的 Windows 服务器组成,这些服务器由 Active Directory 管理(当然)。我们还有少量 Linux 服务器,出于某些原因,它们由 IDM 管理。同样出于某些原因,IDM 设置了对 AD 的单向信任(IDM 信任 AD),以方便在单一位置进行用户管理(这无法更改)。
目前我们有三个域名(名称已更改以保护无辜者):
- 内部.dom
- 窗口内部.dom
- linux.internal.dom
linux.internal.dom 在 IDM 服务器上维护,其他两个在 AD 上维护。由于 IDM 和 AD 之间的信任是单向的,因此在 AD UI 中不可见。其他的当然在 AD 中可见,因为它们在 AD 中维护。
我们正在设置 AD 证书服务,以便可以为每个域颁发证书。但是,由于 linux.internal.dom 位于 IDM 上,而 IDM 仅具有单向信任,因此不会显示在 AD 中,因此无法在 UI 中为其创建证书。最终,我们无论如何都不会使用 UI,因为自动化/脚本化方法会更有效率。
所以,现在我的问题是:AD CA 是否可以为不完全受信任的(子)域颁发证书?也就是说,即使 linux.internal.dom 没有出现在 AD UI 中,我们是否能够为其颁发证书?
答案1
您控制 CA;因此,您可以为您想要的任何名称颁发证书。如果您愿意,您可以为 linux.bobsyouruncle.com 颁发证书。任何信任此 CA 的客户端都应信任由其或其下属 CA 颁发的证书。
无论如何,Active Directory 信任及其方向性必然与证书颁发机构的信任链分离。
此过程的一个很好的例子是防火墙执行流量分析时进行的 SSL 检查 - 可以说是中间人攻击的合法用例。对于对加密网站的每个请求,相关防火墙(通常通过透明代理)会为相关外部资源的 FQDN 生成受信任(但技术上是虚假的)证书。