我在 Active Directory 域上使用 ADCS 创建了一个下属“企业”CA 服务器。签署此下属 CA 证书的根 CA 不属于 Windows 域。
问题 1:Active Directory 域是否会自动信任签署下属 CA 证书的根 CA?Microsoft ADCS 有权访问此根 CA 证书(当我将签名的下属证书加载到 CA 中时),ADCS 没有理由不是将证书发送给所有域成员。
问题 2:如果不是,那么让域成员信任根 CA 的规范/正确的方法是什么?
答案1
您需要导出根 CA 证书(如果根 CA 没有连接到网络,则导出到 USB 棒)。然后,您需要使用 certutil -dspublish RootCACertificate RootCA 将证书发布到 AD。完成此操作后,所有加入域的计算机都将获得添加到其受信任根证书颁发机构列表中的证书,然后应该开始信任您的下属 CA。