在遵循本指南之后 ,不清楚何时会使用公共证书与WSUS的域名证书。
公共证书的主要优点是主机自动信任它们,而内部域的成员自动信任内部域证书。 但是,您仍然可以手动将内部域签名证书安装到非域计算机上,并让他们信任它。
内部域名证书的另一个限制是处理其内容。 它们通常包含通过AD LDAP提供的CRL分发点。 这意味着如果客户端连接到内部域,并且具有networking连接与其通信,则客户端只能访问CRL分发点(CDP)。 请注意,您仍然可以将可公开访问的CDP添加到证书中,以便任何人通过互联网访问。 如果要这样做,则需要通过HTTP而不是LDAP进行服务。 当然,您也将负责在面向web服务器的互联网上安全地托pipe该CRL。
安全影响归结为以下几点:
如果您使用由公共(Internet)证书颁发机构签名的证书保护HTTPS连接,则假定您的所有受pipe理端点都具有Internet访问权限,以便执行证书撤消列表(CRL)检查。 这可能不是这种情况,在这种情况下,他们可能无法下载更新。
我猜测你的大多数端点都是域名连接的,因为这是WSUS部署的典型configuration,即:通过组策略configuration的WSUS。 如果是这种情况,由内部networking签名的证书将会被罚款。
哦,不,没有许可的影响(无论哪种方式)。