我正在build立一个最初将在内部使用的PKI。 由于我们可能会增加对此的使用,因此我select了三级层次结构 – 脱机根和策略CA(目前供内部使用的一个策略CA)和在线颁发CA. 我们最初讨论的是使用我们的域控制器作为颁发CA,而不是build立专用的CA。
我现在开始怀疑是否让我们的区议会签发证书是个好主意。 我们有不到1000个用户,所以我们的区议会没有被征税。
有没有人有任何build议或反对这样做?
我们目前正在运行Windows 2003 Active Directory,但将在未来一年升级到Windows 2008。 我正在设置Windows 2008 PKI。
有点晚了,但无论如何。 一般不build议在DC上部署CAangular色。 这使得很难升级AD,因为您必须升级新版OS的DC版本。 如果从基于32位操作系统的DC转移到64位操作系统(如Windows Server 2008 R2),这会变得很糟糕。 此外,由于优先考虑的是推广清洁的新buildDC,而不是就地升级,所以在降级旧DC / CA组合时,这会让人觉得很尴尬。