我对基于 ADCS 的高可用性 PKI 有一些具体问题。
问题如下。请参阅下面的详细信息以获取有关该原因的更多信息。
- - - - - - - - - - - - - - 问题 - - - - - - - - - - - -
在具有多个颁发 CA 的环境中。客户端如何选择联系哪个 CA 来获取新证书?托管 2 台具有在线响应者角色的虚拟机,并将吊销配置指向两个 CA,与托管 2 个在线响应者(这些响应者设置在阵列中并指向两个 CA 的吊销配置)之间有什么区别?具有 2 个 CA 的高可用性 NDES 设置的最佳设置是什么。(NDES 利用 Intune SCEP 连接器向仅 aad 客户端提供证书)。子问题:具有证书连接器的 NDES 服务器可以同时指向两个 CA 吗?或者如果 CA1 死亡,但 NDES1 仍然启动,会发生什么。----------------------------背景故事 -----------------------------
在这里,我将解释我们将要构建的环境。我需要为这个环境提供符合要求的 PKI 设置。我们正在 Azure 中构建 2 个新数据中心。一个在区域 A,另一个在区域 B。我们拥有 2 个数据中心的原因纯粹是从高可用性的角度出发。所有客户端都存在于同一区域。他们将主要利用区域 A 来提供服务。但是,区域 B 中的服务始终在运行。当区域 A 中的服务停止时,客户端应回退到区域 2。数据中心具有已加入域的服务器。客户端将是通过 Intune 管理的仅加入广告的笔记本电脑。
因此我被要求为此创建一个 PKI。这意味着每个区域一个 CA、每个区域一个 CRL 托管、每个区域一个在线响应器以及每个区域一个 NDES 服务器。
我拥有 Azure 提供的所有功能。我们还计划使用流量管理器将流量从 WAN 端引导到数据中心。因此,通过这种方式,我们可以在数据中心 A 或 B 中获得流量。此外,我们利用网络虚拟设备来平衡内部数据中心流量。
- - - - - - - - - - - - - 研究 - - - - - - - - - - - -
我进行了一些谷歌搜索,找到了一些关于高可用性 PKI 的信息,但并不是我想要的全部。我确实找到了很多实现高可用性 CRL 的示例,所以我不需要这方面的信息。关于 HA CA 的唯一参考是使用 Windows 故障转移群集,但由于我的 CA 跨越 2 个数据中心,因此这不是一个选项。我确实发现拥有多个 CA 没有问题,但没有描述客户如何实际选择一个。
答案1
在有多个颁发 CA 的环境中。客户端如何选择联系哪个 CA 来获取新证书?
我没有找到任何关于此内容的文档,但不久前我确实注意到,如果两个 CA 启用了相同的模板,客户端会从最后一个启用了模板的 CA 注册。据推测,如果该 CA 不可用,客户端会尝试下一个。
托管 2 台具有在线响应者角色且吊销配置指向两个 CA 的虚拟机,与托管 2 台在阵列中设置的在线响应者并指向两个 CA 的吊销配置,这两者之间有什么区别?
数组的所有成员都共享通用设置,因此更易于管理。从客户端的角度来看,无论您拥有一个数组还是一组单独的响应器,都没有区别。
对于具有 2 个 CA 的高可用性 NDES 设置来说,最佳设置是什么?
一个 NDES 服务器只能访问一个 CA。您可以使用一个 CA 拥有多个 NDES 服务器实例,但由于 CA 是 SPOF,因此您必须考虑这样做是否有任何好处。每个 CA 一个 NDES 可能是最好的选择。NDES 服务器只是充当协议转换器:SCEP <-> WCCE。
您的 Intune SCEP 连接器已安装在 NDES 服务器上。由于 NDES 服务器仅访问一个 CA,因此连接器也只能访问同一个 CA。
我相信您可以在 Intune 中设置多个连接器实例。每个实例都应配置类似的设置,因为您无法定义 Intune 将使用哪个连接器。