Intereting Posts
如何找出安装程序(rpm,deb)创build的文件?
没有PHP二进制文件的PHP Cron作业?
macports提升,但需要一个老版本的提升
平面networking上的间歇性互联网访问 – 路由器已连接
使用ack-grepsearch文字“> \”
更新RAID 10 NAS存储
如何打开PowerShell控制台重新启动计算机
MySql DB与ext3和XFS
可能将sflow数据转储为pcap格式?
数字签名与openssl
Azure将公共IP地址移动到LoadBalancer
ipv6,静态的一些目的地,其余的dynamic
正确设置https的“默认”nginx服务器
将Drupal站点移至新的服务器
自动启动PPP USB调制解调器
如何在ADCS中创build交叉证书(或桥接CA)?
我试图在两个不信任的森林之间build立一个信任关系,我想使用交叉证书或Bridge CA解决scheme(不使用AD信任或CEP)。 我发现很多build议说可以做到,但是我可以find任何关于如何去做的事情。
(图片似乎没有显示 – 这里他们在谷歌幻灯片: 从下面3张图片 )
这是我有: 
我想添加一个这样的信任: 
- 清理证书服务基础设施
- 我如何知道哪台机器是authentication中心?
- 我可以从作为企业CA的W2k8服务器中删除DCangular色吗?
- 如果根CA是可信的,代码签名证书是否会自动跨域进行信任?
- 证书注册控制已停止在本地主机AD CA服务器上工作?
为了达成这个: 
绘制这些图片后,我可以看到我错过了一些东西,我无法看到交叉authentication链接将如何或在哪里存储。
到目前为止,我完全没有让一个CA签名任何东西(证书,CA,请求)源自另一个CA的层次结构。 我正在以正确的方式进行吗? 任何关于如何交叉签名的指针,或者我的图表是否正确都是很好的。 对不起,这有点含糊,但我真的不知道要走到哪里。
谢谢,
吉姆
好吧,似乎没有关于与Active Directory有关的森林信任,而不是PKI。 PKI信任和AD信任是不同的东西。 图中显示的是合格的PKI信任,它们似乎是正确和有效的。
总之,你需要简单的合格的从属。 Bridge PK适用于PKI信任超过3人的情况。 您针对依赖方的CA颁发交叉证书,并在您的森林成员中分发此证书。 在这个过程中,你将不得不计划:
- 什么types的证书(由EKU)你会接受?
- 是否有特定的证书策略要映射?
- 你会信任哪些命名空间?
- 等等
当所有的信任条件被定义时,你的步骤如下:
- 获得依赖方的CA证书
- 准备
policy.inf文件并定义信任条件(应用程序策略约束,证书策略约束,策略映射(如果有),名称约束等) - 使用
certreq -policy path\remotecacert.cer path\policy.inf path\policy.req命令生成交叉证书请求 - 将其提交到您的本地CA服务器并颁发证书
- 通过在AD中发布证书跨所有AD林成员分发证书:
certutil -dspublish -f crosscert.cer CrossCA。 如有必要,将证书分发给非域成员(手动或MDM软件)。
不幸的是,微软已经埋葬了许多优秀的白皮书,并没有将它们更新到新的版本,文章也不容易find。 但是,您可以下载整个Windows Server 2003 Retired Content存档并查找名为“ 使用Windows Server 2003规划和实施交叉authentication和合格的从属 ”的主题。 本节将深入提供有关该主题的所有必需的详细信息。