服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 单个ADCS实例能“持有”多个PKI名称空间吗?
Intereting Posts
使用NFS + NIS的无密码ssh 是否有可能创build一个没有临时存储的EC2 Micro实例,只有一个ramdisk? 启动 – 停止守护进程不按预期工作 可以浏览,但不能ping通 AD FS – 发送AD属性到Shibboleth SP 可以ping,可以用一种方式build立SSH连接,但不能用其他方式 BIND:前进一级区域 tcp状态TIME_WAIT和HTTP保持关系 使用ASPX页面 解决scheme无线项目的平板电脑桌面? Avahi坚持跨直接连接/断开连接 交换 – 从用户redirect邮件,保持旧邮箱完好无损 究竟如何浏览Ubuntu的启动文件? 如何存储psql的loginpath? 处理多个私人DNS服务器

单个ADCS实例能“持有”多个PKI名称空间吗?

我想节省操作系统许可证,简化CRL更新并在给定服务器上拥有多个证书实例。

对我来说,这从安全的angular度来看是有道理的,因为我有:

根据certutil -ping(即config参数)的输出,看起来每个ADCS实例可以有多个configuration。

另外,Certutil的其他几个参数(以及相应的API)允许我指定要连接的“实例”。 

/// --- NOTE: The ability to specify an individual config seems to indicate multiple PKIs are possible per box: PS C:\Windows\system32\CertSrv\en-US> certutil -ping -config "a.Issue01.bitclear.us\Secure Issuer 01a-001" Connecting to a.Issue01.bitclear.us\Secure Issuer 01a-001 ... Server "Secure Issuer 01a-001" ICertRequest2 interface is alive (0ms) CertUtil: -ping command completed successfully. /// --- NOTE "Entry 0" implies that more entries are possible PS C:\Windows\system32\CertSrv\en-US> certutil -v Entry 0: (Local) Name: `Secure Issuer 01a-001' Organizational Unit: `Email Privacy' Organization: `Bitclear LLC' Locality: `' State: `' Country/region: `us' Config: `a.Issue01.bitclear.us\Secure Issuer 01a-001' Exchange Certificate: `' Signature Certificate: `a.Issue01.bitclear.us_Secure Issuer 01a-001.crt' Description: `' Server: `a.Issue01.bitclear.us' Authority: `Secure Issuer 01a-001' Sanitized Name: `Secure Issuer 01a-001' Short Name: `Secure Issuer 01a-001' Sanitized Short Name: `Secure Issuer 01a-001' Flags: `13' Web Enrollment Servers: 1 4 0 https://a.issue01.bitclear.us/Secure%20Issuer%2001a-001_CES_UsernamePassword/service.svc/CES 0 CertUtil: -dump command completed successfully.

每个ADCS主机是否可以托pipe多个PKI? 这将如何完成?

除此之外:我记得过去有可能进行讨论,但是我不确定它是否被执行。

去做:

当我运行命令时,我将用一个自定义的CertFile和一个新的名字来testing这个理论: 

 certutil -installcert [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [CACertFile]

这也可能与“PolicyServers”和“EnrollmentServers”可以连接到这个命令。 从核心的ADCS实例中分离出来的能力是非常有趣的,并且真正logging下来。

我的理解是,每个主机只能有一个ADCS实例,在AD林中最多只能有3个CA. “\ CA名称”更多的是关于您的PKI树的名称,不应该与MSSQLconfiguration中看到的\ INST1types实例混淆,这是我想你可能会想到的。

将您的CA保持分离是一个很好的做法,因为如果所有CA都位于一台主机上,那么主机应该受到危害,主机上的所有CA都会受到影响。

如果您的林中有多个PKI树,则会从certutil中看到多个条目。

有能力使用Web策略注册服务器分离注册策略服务器 – 对于需要在外部颁发证书的DMZ环境非常有用。

在技​​术上不可能在一台服务器上拥有多个PKI层次结构,并且从安全angular度来看它是一个坏主意(单点故障)。 ADCSangular色与AD中的服务器身份相联系,因此改变层次结构的DN的唯一方法是将angular色撤离并重新开始。

至于许可证去,我不认为离线根CA需要什么特别的。 只要CRL和AIA端点相匹配,您就可以在技术上在Linux主机上生成密钥材料,并将其发布到发布CA的企业的AD中。