1 つのオフライン CA (標準) と 2 つのサブ CA (エンタープライズ) の階層があります。
オフライン CA は Active Directory に公開されておらず、2 つのサブ CA は AD に公開されています。
オフライン CA を変更して AD に公開し、構成に影響を与えずに信頼されたルート証明書をマシンに自動的にインストールすることはできますか?
答え1
「AD への公開」には、Active Directory を使用して、証明書失効リスト (CRL) と CA 証明書を LDAP 経由で公開することが含まれます。つまり、証明書利用者は、HTTP の代わりに (または HTTP に加えて) LDAP プロトコルを使用して CRL と中間 CA 証明書をダウンロード (プル) します。
さらに、証明書利用者は AD を信頼するため、AD によって配布されるルート CA 証明書を信頼し、証明書ストアにマージすることができます。
グループ ポリシーを使用して、ルート CA (中間証明書や CRL ではありません) 証明書をすべての証明書利用者に配布 (プッシュ) し、証明書を証明書ストアにインストールできるようにすることもできます。グループ ポリシーは対象を絞ることができるため、AD への公開をより細かく制御できます (細かい制御が必要な場合)。