假设加入给定域的 ADCS CA 的证书由离线根 CA 签名,该根 CA 受到域/林中所有系统的信任。如果随后使用该离线根 CA 颁发/签署 CA 证书(无限制),然后该 CA 为相关域的资源颁发用户/计算机/智能卡证书,这些证书是否会受到信任(即,以这种方式颁发的证书是否可用于对域进行身份验证)?
答案1
如果域中的所有计算机都信任根 CA,那么根据定义,它们将信任其签名的每个证书,包括新的子 CA 的证书。
但是,如果新的子 CA 未集成 AD,则某些计算机或应用程序在验证整个 CA 链直至根时可能会遇到问题;为了解决这个问题,您可以使用 GPO 部署子 CA 的证书Trusted Intermediate Certification Authority
。