我正在使用 Active Directory 证书服务设置一个两层证书颁发机构。离线隔离根证书颁发机构很容易设置和启动。但是,中间证书颁发机构似乎希望远程注册服务处于活动状态,然后才能颁发证书。
为什么此应用程序需要激活远程注册服务?
提前感谢您的回复 :)
答案1
它是 AD CS 远程管理所必需的。CA 将其配置存储在注册表中。
答案2
为什么 AD CS 中的中级证书颁发机构需要远程注册服务
虽然微软没有公开记录这一要求背后的确切原因,但对于为什么 AD CS(特别是中间 CA)可能需要远程注册服务,有两种可能的解释:
配置管理: AD CS 可能会利用远程注册表服务在中间 CA 配置过程中读取或写入特定注册表项。这些条目可能包含有关证书模板、签名算法或颁发证书的其他重要设置的详细信息。
安全上下文:在某些情况下,启用远程注册服务可能是 AD CS 内组件之间建立安全通信通道的必要条件。这对于与离线根 CA 和潜在其他网络资源交互的中间 CA 尤其重要。
由于根 CA 在断开连接的环境中运行,它可能不需要这种级别的配置管理或安全通信,这解释了为什么它在没有远程注册服务的情况下也能运行。
- 考虑是否有其他方法可以在不启用远程注册服务的情况下实现中间 CA 的配置。这可能涉及手动配置或利用其他工具。
请记住,启用远程注册服务确实会带来一些安全风险。如果绝对必要,请确保实施强大的访问控制,以最大限度地减少潜在的漏洞。