独立（在线）CA + 下属企业 CA 配置是否可以颁发有效的内联网 SSL 证书？

不可以在域控制器上运行任何证书服务。它们只能安装在成员服务器上。

原因有二：

1. 如果 DC 上安装了证书服务，您将无法替换域控制器。根据最佳实践，DC 的替换方法是将新 DC 添加到网络，然后降级和停用旧 DC。您无法使用 CA 角色降级 DC。您必须先卸载 CA 角色，然后才能降级 DC。
2. Microsoft 证书颁发机构是林范围的资源。在多域环境中，一个域中的管理员可能会影响他们没有权限的其他域。

正如其他人所说，不建议在域控制器上运行证书颁发机构，无论它是独立的还是企业的；此外，在域计算机上安装独立 CA 有什么意义（在 DC 上更是如此）？独立 CA 的全部意义不在于与 Active Directory 集成，它应该在未加入域的计算机上运行。

无论如何，回答您最初的问题：虽然企业 CA 会自动受到所有域成员的信任，但独立 CA 却不会；为了使用它的证书和/或下属 CA 颁发的证书，您需要每个人都信任其根证书。

这可以使用 GPO 或使用来完成certutil；您可以在此处找到更多详细信息：将根 CA 和子 CA 证书发布到受信任的根证书存储区。

根据 Microsoft PKI 设计指南，实验室环境中应使用域控制器上的独立 CA。但这也取决于您组织的安全策略。

关于受信任的 SSL，您需要在设备上提供证书链。这可能是根 CA 证书，如果使用，则是中间 CA 证书。使用组策略，您可以将 CA 证书分发给客户端。

是的，它可以，即使它不遵循最佳安全强化实践，也是颁发 SSL 证书的有效设置。

• 请注意，问题与安全性或其他任何影响无关，也与这是否是生产环境中的有效设置无关。提出这个问题纯粹是为了解决浏览器不信任 CA 颁发的内联网 SSL 证书的问题。
• 除了 SSL 证书颁发之外的任何其他目的、关注点和含义（例如安全性、维护、配置更改等）均不在此涉及。
• 仅对于内部网 SSL 证书颁发而言，此配置似乎是有效的。（不确定是否值得重复 - 尽管在问题文本中重申了这一点，但现有的两个答案似乎对问题是什么感到困惑。）
• 是的，在 DC 上安装 CS/CA（证书服务/证书颁发机构）角色并不是最佳做法（如上所述这里)——但这与问题无关。

我这样相信的理由是：

• 没有迹象表明这是不是Microsoft 文档或其他地方的有效设置（它不是最佳实践，甚至“强烈建议不要”与这个问题的目的无关）
• 微软的警告，“切勿在生产环境中的域控制器上安装证书颁发机构“仅出现在一所有 Microsoft 文档的位置：在“基于实验室的 PKI”在他们的“配置并验证公钥基础设施 - 本地证书信任“。
  • 事实上，它属于“基于实验室的 PKI”，而不是“部署企业认证机构”，这告诉我它可能只与“基于实验室的 PKI”相关，并且可能不是所有其他可能设置的严格指南。
  • 在其他所有建议不要在 DC 上安装 CA 的地方（例如“证书颁发机构的其他角色“ - 这是其中的一部分”保护 PKI：保护 PKI 的技术控制“）——很明显不是这是一项硬性要求，但推荐从安全和维护方面。

附言

• 我远不是这方面的专家——这个答案完全基于阅读相关文档和对其他答案的评论总结，希望它能帮助其他处于类似情况的人。如果出现更好的答案，我会将其标记为这回答。
• 我问这个问题的原因是：这（“独立”根 CA + “​​下属”企业 CA）是否是无效配置，并且是 SSL 证书在我的环境中被标记为无效的原因？答案似乎是“不”：这不是我们的浏览器不信任 CA 颁发的 SSL 证书的原因 - 无论在 DC 上运行 CA 是多么不明智，这都是其他原因。继续... :)