我已经设置了一个有效的两层 Active Directory 证书服务 PKI 层次结构,其中包含一个离线独立根 CA (ROOT-CA) 和一个在线企业下属 CA (ISSUING-CA)。为了实现冗余,我想添加一个额外的下属 CA。对于这个第二个下属 CA,我可以使用与第一个下属 CA 相同的证书 (ISSUING-CA) 来颁发新证书吗?还是我需要为此服务器申请一个特定的新证书 (ISSUING-CA-02)?
答案1
您必须使用不同的 CA 名称和 CA 证书。ADCS 认证机构不支持 NLB,仅支持故障转移群集(具有主动/被动节点)。