我有一个通用SSL证书(* .ourdomain.com)+信任链,这个信任链是从部署在域中的所有Windows服务器上的公共第三方CA发出的。 但是我们的环境超出了我们的部署脚本,我需要一个更好的方式来pipe理和审计域中的证书(每台服务器上的证书列表,证书何时到期,在新部署的服务器上安装证书)。
我最初的研究指出,Active Directory证书服务(ADCS)是一种解决scheme。 这看起来好像在ADCS机器上生成证书一样可以正常工作,但是我不清楚如何将ADCS用于第三方证书。 是甚至可能或推荐?
您不使用Active Directory证书服务来pipe理第三方证书。 AD CS不是资产跟踪或库存系统。 (在这种情况下,您的“资产”是您收集的SSL证书。)
从组织的angular度来看,我认为您需要一个CMDB /资产跟踪系统,能够跟踪SSL证书作为configuration项(configuration项目…对不起,有点ITIL在那里说)。
但至于你应该使用什么产品,我不能说,因为产品的build议是脱离Serverfault主题。
如果他们需要在域范围内部署,那么您是否没有使用GPO来部署证书? 您可以向GPO添加/删除证书,GPO将pipe理部署/删除证书。
其次,不确定你是如何超过一个脚本,一个明确定义的脚本应该很容易为1000多个系统工作。 也许它是你执行脚本的方式? 例如,你是否有一个中央系统的工作去出去轮询/部署证书? 或者…你让你的客户都运行一个脚本,让他们上传结果到一个给定的目录? 后者具有更好的缩放能力,但可能需要更多的努力来吸收/摄取数据。 您可以非常容易地将客户端启动的脚本(使用GPP创build计划任务)将给定计算机的结果上载到文件共享,然后循环访问数据文件并将其添加到数据库甚至简单的CSV 。