我最近被委派在我们的域环境中设置一个CA的任务,并且对微软为什么要做一些他们喜欢的事情有疑问。 我一直在尝试阅读关于执行此任务的最佳实践,并且已经决定在理想的CA环境中,应该有一个“脱机”根CA,然后是两个从属CA,用于冗余/颁发证书。 这一切都很好,我明白这是如何工作的,为什么,但是为了解决我设置的沙箱问题,您将证书颁发机构添加到域环境的方式似乎极其微不足道,并且不符合所有最佳实践。
任何人都知道集成到Active Directory中的企业根CA的目的是什么? 从我读过的内容来看,一旦你设置了一个集成到Active Directory中的企业根CA,就可以在Active Directory中长期使用,在任何情况下都不能closures/重命名/接触。 如果这是真的,那么这似乎违背了build立独立根CA,添加下属,然后使根离线的做法。
感谢您可能要提供的任何反馈!
根CA可以很容易地成为企业CA,因为这是在某些情况下有意义的部署。 很多部署不需要或不需要一个脱机的独立根,或任何中间体; 这些可以在企业根目录下正常工作。 比方说,如果你发行的模板数量不止一个(因此可用性不是一个大问题),也不需要经常发布CRL。
我和你在一起,对于一个计划不周的CA来说有点过于简单 – 你在审阅文档之后仔细考虑应该如何计划,但是在安装过程中并不明显(并且不要让我开始关于capolicy.inf的同时必要性和模糊性 – 把这些东西放到GUI中!)。
我已经处理了清理这些不完整的部署,而不是我所愿意承认的,但是把它们拉下来肯定是可行的(确保所有的客户端信任新的根目录,从旧的CA中删除模板,打开模板版本强制重新注册新的CA); 它只是需要更多的工作和周密的计划,而不是放在最初的草率部署。