我有一个离线 CA(标准)和 2 个子 CA(企业)的层次结构。
离线 CA 未在 Active Directory 中发布,并且 2 个 SubCa 在 AD 中发布。
是否可以修改离线 CA 以发布到 AD,以便它自动在机器上安装受信任的根证书而不影响配置?
答案1
“发布到 AD”涉及使用 Active Directory 通过 LDAP 发布证书吊销列表 (CRL) 和 CA 证书。也就是说,依赖方使用 LDAP 协议下载(拉取)CRL 和中间 CA 证书,而不是(或除了)HTTP。
此外,由于依赖方信任 AD,他们可以信任其分发的根 CA 证书并将其合并到他们的证书存储中。
您还可以使用组策略将根 CA(不是中间证书或 CRL)证书分发(推送)给所有依赖方,以便他们可以将其安装在证书存储中。由于组策略可以定位,因此可以更精细地控制发布到 AD(如果需要精细控制)。