特定のドメインに参加している ADCS CA の証明書がオフライン ルート CA によって署名され、その CA がドメイン/フォレスト内のすべてのシステムによって信頼されていると仮定します。そのオフライン ルートが CA 証明書の発行/署名に使用され (制約なし)、その CA が問題のドメインのリソースに対してユーザー/コンピューター/スマート カード証明書を発行した場合、それらは信頼されるでしょうか (つまり、この方法で発行された証明書はドメインへの認証に機能しますか)?
答え1
ドメイン内のすべてのコンピューターがルート CA を信頼する場合、定義上、新しいサブ CA の証明書も含め、ルート CA によって署名されたすべての証明書が信頼されます。
ただし、新しいサブ CA が AD 統合されていない場合、一部のコンピューターまたはアプリケーションでは、ルートまでの CA チェーン全体の検証に問題が発生する可能性があります。これを修正するには、Trusted Intermediate Certification AuthorityGPO を使用してサブ CA の証明書を展開できます。