アクティブ ディレクトリ ドメインで ADCS を使用して、従属「エンタープライズ」CA サーバーを作成しました。この従属 CA の証明書に署名したルート CA は、Windows ドメインの一部ではありません。
Q1: Active Directoryドメインは、従属CAの証明書に署名したルートCAを自動的に信頼しますか?Microsoft ADCSはこのルートCA証明書にアクセスでき(署名された従属証明書をCAにロードした場合)、ADCSがない証明書をすべてのドメイン メンバーに送信します。
Q2: そうでない場合、ドメイン メンバーにルート CA を信頼させる標準的/適切な方法は何ですか?
答え1
ルート CA 証明書をエクスポートする必要があります (ルート CA がネットワークに接続されていない場合は、USB スティックにエクスポートします)。次に、certutil -dspublish RootCACertificate RootCA を使用して証明書を AD に公開する必要があります。これが完了すると、ドメインに参加しているすべてのコンピューターの証明書が信頼されたルート証明機関のリストに追加され、従属 CA を信頼するようになります。