寻求build立多层/跨林PKI基础设施的资料。 我可以遇到的唯一的文章只是在一个域上设置基本的两层系统。
基本上我们有一个pipe理域(我们每年都会购买公司,所以我们有这个帮助整合的过程)。 让我们打电话给这个domain1.com。 我们成功在domain1.com上设置了两层格式的CA(在线企业subca下的离线root)。
subca.domain1.com 现在我不知道如何获得新的域,domain2.com,所以从domain1.com subca获得证书。 微软表示,我需要为绑定到domain1.com的每个不同的域创build一个subca
subca.domain2.com
这听起来正确吗? 当root权限在domain1中时,如何configurationsubca.domain2.com将证书发布到domain2.com域控制器中? 最终的交付成果是开始在domain2.com上做LDAPS。 感谢任何能够指引我正确方向的人
微软的立场是正确的,但需要澄清:通常你需要为每个* forest *部署一个单独的CA服务器。 例如,您不需要在corp.domain1.com域中部署单独的CA.
最终,有两个支持的解决scheme:
像微软说的那样,你必须在每个获得的AD森林中部署一个单独的CA. 在这种情况下,每个CA都有一个单独的权限,只能向各个林客户颁发证书。
通过将Windows Server 2008 R2(或更新版本)作为父林中的CA,可以build立跨林证书注册: AD CS:部署跨林证书注册 。 这需要森林之间的双向信任。 这将允许使用位于父林中的CA服务器将证书部署到所有受信任的林客户端。
任一select都需要一些行政工作。 但是如果你打算把获得的森林迁移到父母森林,或者集中pipe理他们,我会select2.否则,如果每个森林都有他们专门的IT人员,选项1会更合适。
另外,我想回顾一下,有注册Web服务 ,可以简化跨林证书注册stream程。 您甚至不需要执行AD PKI对象同步,因为客户端将使用CEP / CES服务器进行注册。