我们正在努力建立一个 2 层 pki,其中 2 个颁发 CA 位于不同的区域/子网中。我们能够让 pkiview.msc 上的所有内容看起来都正确无误。但是,我们仍然在使用第二个颁发 CA 时遇到问题,它似乎没有在 mmc snap in 证书上以在线方式进行通信。但在 pkiview 中,这取决于我正在测试哪个服务器。当我在南边(第一个颁发服务器)时,它显示第二个颁发 CA 处于离线状态,并且第一个颁发 CA 上的所有东西都很好,而当我在北边(第二个颁发服务器)时,情况恰恰相反。我们进行了测试并得到了以下结果。我应该提到,我们被要求将第二个颁发 CA 放在不同的子网和区域中。因此,我们在 Windows 10 中使用 Azure 测试 vms 运行了以下测试。结果反映了我们是否从颁发 CA 收到了 mmc 证书。唯一响应的颁发 CA 是与根 CA 位于同一区域的第一个颁发 CA。下面的 y 或 n 显示它们是否从 root 开始打开或关闭,然后是第一和第二个颁发 CA,结果是 MMC 管理单元证书结果。
名称 子网 根 CA 第一个颁发 CA 南部 第二个颁发 CA 北部 结果
test-vm-01 South yyy 成功通过第一次颁发 CA
test-vm-02 South yyn 成功通过第一次颁发 CA
test-vm-03 南 yny 失败
test-vm-04 South nyy 成功通过第一次颁发 CA
test-vm-05 南 nny 失败
test-vm-06 South nyn 成功通过第一次颁发 CA
test-vm-07 北 nyn 失败
test-vm-08 北 nny 失败
我们遵循的步骤
1 创建虚拟机
2 打开或关闭服务器
3 将新虚拟机加入域
4 检查证书
它与标题不对齐,但与结果的顺序相同。对我来说最令人惊讶的结果是测试 7,因为我发现测试虚拟机的子网和区域是唯一的区别。不知道为什么,但似乎机器只有在与颁发 CA 位于同一子网时才会获得证书,有什么想法吗?任何建议都将不胜感激。谢谢
PS我们使用的安装过程与此类似https://www.derekseaman.com/2021/03/windows-server-2019-two-tier-pki-ca-pt-1.html