是否有可能在Windows Server 2012中创build多个证书颁发机构? 具体来说:我想创build一个独立的根CA,将其私钥放在离线安全存储中。 主要颁发(企业)CA应该有由根CA签名的证书。
这是可能的只有一个Windows Server 2012安装,或者你真的需要创build多个虚拟机与每个CA?
一次只能在一个Windows Server操作系统的实例上安装一个AD CS证书服务器。
编辑:另外,如果你想认真对待根CA的物理安全性,不要把它做成虚拟机。 虚拟机可以从虚拟机pipe理控制台启动,然后受到威胁。 使其成为物理机器,用它来设置策略CA并颁发CA,然后将以太网电缆从根CA机器中拔出并closures。 (对于一个企业(AD集成的)CA来说,你不可能做到这一点,但这是一个完全不同的话题。)