我已经部署了一个 PKI 基础架构,其中包含一个独立根 CA(将保持关闭状态)和 4 个依赖于此根 CA 的企业子 CA。为了使计算机信任根 CA,我将从 AD GPO 将根 CA 证书发送到要分发的域计算机。我怀疑我是否还必须在将使用此 SUBCA 证书的相应计算机上分发 SubCA 的证书。
谢谢
答案1
当您通过 GPO 推出根时,我也会推送中间证书。
根据 RFC,向客户端提供证书的应用程序需要将整个证书链发送给客户端。根证书可以省略,但也可以包含在内。
现在,您的环境中可能会出现以下问题:
- 应用程序编码错误,仅发送机器证书
- 用户将证书(来自内部 PKI)上传到应用程序,但不知道他必须上传整个证书链。这导致应用程序仅向客户端提供机器证书
总而言之,您可能会遇到问题,所以我只会将证书包含在同一个 GPO 中。