私はコンピュータクライアントに正常にサービスを提供しているCAを持っており、NPS(など)はすべて正常です。現在、いくつかのサービスをネットワーク境界外に移動することを検討しており、セカンダリ証明書を作成したいと考えています。ユーザーコンピューターではなく。1 つのキーですべてのドアを開けられるべきではありません。「特別な」スタッフなどの個人用デバイスには秘密キーがあることは知っています。
fqdn -> *.services.fqdn
いくつかの質問:
- 同じフォレストにサブドメインを作成するにはどうすればよいですか?
- 外部 RADIUS サーバーがドメインに接続されていない (つまり、公開証明書をアップロードし、CRL に向けられている)
- コンピュータ証明書は、下位証明書に対して認証できますか?
- 誰かが以前にこのようなことをしたことがあれば、*.client.fqdnと*.services.fqdnを作成した方が良いでしょうか?
- FQDN 証明書に SCEP をまだ使用できますか?
ありがとう