Windows PKI与脱机根(可能与OpenSSL) – 可能吗?

我试图build立一个双层的PKI,我有很多问题。 由于存在AD的逻辑删除限制,我假设根(它将脱机)不应该是AD的一部分。 我对么?

我正在考虑的设置是一个根CA和多个中间体(用于不同的目的)。 所以,root可能是一个独立的windows标准或Linux + OpenSSL(不知道这是否可行/可取)。 其中一个中间CA是AD的一部分(自动注册等)。

所以,我的问题是:

根可以独立(不是AD的一部分)吗? 这是否会导致证书链或任何问题?

根可以是Linux + OpenSSL吗? 这会难以pipe理吗?

或者是否有对墓碑限制的解决方法?

谢谢。

请参阅: http : //blogs.technet.com/b/askds/archive/2009/10/13/designing-and-implementing-a-pki-part-ii.aspx[1]和http:// pki-tutorial .readthedocs.org / en / latest / advanced / index.html [2]供参考。

微软指定脱机根CA机器不应该是一个域的成员 ,所以它不会导致你任何问题,并且它使AD墓碑生存期问题的整个问题没有意义。 以机智:

设置运行Windows的服务器,您将用于根证书颁发机构。 服务器不应该是任何域的成员,应该从networking断开连接,并且应该是物理安全的。

我没有尝试过使用OpenSSL和Windows CA进行广泛的互操作性testing,但原则上它应该可以正常工作 – 这都是基于标准的PKI。 当然,我已经使用OpenSSL为使用OpenSSL的Windows服务器签了很多次,甚至没有不良影响的证书。 只要您适合使用OpenSSL工具为您的第二层CA颁发证书,就不会引起任何特定的pipe理问题。

使用一套工具和另一套中间工具来部署根CA没有什么特别的价值。 你当然可以,但是我不明白这是怎么“买”什么东西的。

我试图build立一个双层的PKI,我有很多问题。 由于存在AD的逻辑删除限制,我假设根(它将脱机)不应该是AD的一部分。 我对么?

正确。 您的脱机根CA将是一个工作组计算机。 您只会为了更新颁发CA证书和发布CRL而将其启用。 您通常会通过GPO将根的公钥/证书分发给所有客户端。

我正在考虑的设置是一个根CA和多个中间体(用于不同的目的)。 所以,root可能是一个独立的windows标准或Linux + OpenSSL(不知道这是否可行/可取)。 其中一个中间CA是AD的一部分(自动注册等)。

我不会尝试在单个PKI中混用Windows和Linux。 这样做没有任何好处,而且您只是使PKI的pipe理变得更加复杂。