馬鹿げた質問かもしれませんが、稼働中のシステムを台無しにするリスクを冒したくありません。
2 つの別々の Active Directory があります。たとえば、「example.local」と「example.com」です。2 つの間には信頼関係があるため、これらのドメインは実際に接続されています。
数日以内に新しいソフトウェアをセットアップしますが、両方のドメインへの安全な LDAP 接続 (SSL 経由の LDAP) が必要です。現在、利用できる CA はありません。
によるとマイクロソフトCA を設定し、新しいサーバー認証証明書を作成し、それをすべての DC に配布する必要があります。
まったく同じ証明書を他のドメインの DC にも配布する必要があるのか疑問に思っています。それとも、2 つの別々の CA (ドメインごとに 1 つ) を設定し、各証明書を対応する DC にのみ配布する必要があるのでしょうか。少し混乱しています。あらかじめご了承ください。
答え1
@GregAskewのおかげで公式を見つけることができましたMicrosoft のガイダンス。
基本的に、全体の手順は次の 4 つのステップに分けられます。
- リソース フォレスト (ADCS が展開されているフォレスト) とアカウント フォレストの間に双方向の信頼を作成します。
- クロスフォレスト登録をサポートするようにリソース フォレスト内の CA を構成します。
- 証明書テンプレートをコピーします。
- PKI オブジェクトをアカウント フォレストにコピーします。