我有 2 个 Windows Server 2019。例如 server1 和 server2。server1 是域控制器。server1 安装了以下角色:ADDS、ADCS、DNS、FILE STORAGE、IIS。
server2 连接到该域控制器。server1 安装了以下角色:ADCS、FILE STORAGE、IIS。
我已经在 server1 上设置了 PKI,一切正常。我可以使用 CRL 以及 OCSP 功能进行证书验证。
我想让 server2 成为 server1(根 CA)的从属 CA,并安装相应的角色(ADCS),能够分发用户证书,并且它工作正常。但我无法在 server2 上测试 CRL 功能,因为它需要与 server2 进行 ldap 绑定。
当我进一步调试时,我发现 LDAP 服务器没有在 server2 上运行。我检查了端口 389 在 server1 上监听,但在 server2 上没有监听。
那么如何在 server2 上启用 ldap 服务?我无法测试 PKI 的 CRL 功能,因为 CDP url 是 ldap 地址。
答案1
LDAP 不是 ADCS 的先决条件。如果您的公司使用 ADDS,那么您可以选择部署企业 CA,以简化证书颁发和向用户和计算机的部署。
如果您没有 AD 域,则可以安装独立 CA。
这就是你的方法毫无意义的原因。你不会在 server2 上安装 ADDS 只是为了运行中间 CA。
建立 PKI 基础设施的方法有很多种,您似乎应该阅读该主题,以便了解如何满足您的需求。我建议您从本指南开始: https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/designing-and-implementing-a-pki-part-i-design-and-planning/ba-p/396953
但回答你的问题:将 server2 加入与 server 1 相同的 AD 域并安装企业下属CA。如果你计划将你的根 CA 放在线上(我假设),那么它应该是企业根 CA。
但是,如果您计划实施多层 PKI,则您的根 CA 应该是独立的和离线的。您也不应该在域控制器上安装 CA。并且您的 CDP 和 AIA 位置应该仅位于 HTTP 服务器上,也可以选择部署额外的 OCSP 服务器。
在仅内部需要证书的小型企业中,您可以安装单个企业根 CA,并使用 LDAP 作为您的 CDP 和 AIA 位置。
如果您计划将 PKI 投入生产,我强烈建议您阅读该文章。