我正考虑用证书来保证我的工作环境,因此有几个问题。
我的Active Directory域是domain.com。 如果我从COMODO购买商业通配符SSL证书,是否可以创buildS / MIME用户证书(在域控制器上安装CA后:dc.domain.com)?
authenticationpath为:COMODO CA – > Intermediate CA – > * .domain.com – > [email protected]
是可行的还是应该从COMODO为每个用户购买一个单独的证书? 如果这样的话,我的组织之外的证书会被信任吗?
第二个问题是关于S / MIME证书的部署。 是否有GPO分发用户证书,附加到电子邮件帐户和发布GAL?
感谢您的任何build议。
不,它不会那样工作。 您从商业CA购买的证书没有资格签署其他证书。 为了签署其他证书,您的证书必须具有Basic Constraints证书扩展, isCA位设置为1.但是,从商业供应商处购买的所有证书都将此位设置为0.尽pipe在技术上可以创build此类configuration,将不起作用,因为证书validation失败。
您应该为每个邮件地址购买单独的证书。
在域控制器上安装CA后:dc.domain.com
只需注意:不要在域控制器上安装CA. 如果安装,应安装在专用服务器上。