我们是否可以添加链接到现有企业根证书颁发机构的下属企业证书颁发机构

我们是否可以添加链接到现有企业根证书颁发机构的下属企业证书颁发机构

根 CA 已加入域。子 CA 将加入域。子 CA 将通过 GPO 向 PC 客户端提供工作站身份验证(模板)。

此配置是否存在任何已知问题?根 CA 是否应仅独立?我知道根 CA 的安全建议是独立的,但如果它加入域,是否存在任何操作问题?

答案1

Is there any known issue with this configuration?

不。

Should the root CA be only standalone?

这根本不是强制性的。

Is there any operational issue if it's domain joined?

如果您有多个 AD 集成 CA(无论它们在 PKI 层次结构中的级别如何),您将需要管理证书模板、注册权限和自动注册策略,以便用户和计算机从正确的 CA 获取他们的证书。

相关内容