我有一个Windows 2003 AD,我build立了一个根CA和一个子CA,这两个都是Windows 2008(join域)。我需要使用子CA来生成用于数字签名的最终用户证书,它们应该能够生成从url(自我注册)。 如果我能做到这一点,有人可以build议吗?
一个。 没有模式更新广告? ad 2003到ad 2008
湾 或者让他们独立? 模板将以这种方式工作吗?
不,您不需要架构扩展来使用2008 CA. 请参阅Windows PKIfunction的AD架构要求 。
你最好使用一个下属企业而不是一个独立的下属。 但是,通常使用独立的根CA.
PKI是你在实施之前应该计划的事情(而不是稍后尝试改造)。 那里可能会被大量的文档推迟。 不过,我build议您查看Microsoft支持工程师发布的AskDS博客上的内容开始的文档。
请参阅devise和实施PKI:第一部分devise和规划以及其他系列相关博客,以获得devise公司PKI实施的好介绍。