Ich habe mithilfe von ADCS in einer Active Directory-Domäne einen untergeordneten „Enterprise“-CA-Server erstellt. Die Stammzertifizierungsstelle, die das Zertifikat dieser untergeordneten Zertifizierungsstelle signiert hat, ist nicht Teil der Windows-Domäne.
F1: Vertraut die Active Directory-Domäne automatisch der Stammzertifizierungsstelle, die das Zertifikat der untergeordneten Zertifizierungsstelle signiert hat? Microsoft ADCS hat Zugriff auf dieses Stammzertifizierungsstellenzertifikat (als ich das signierte untergeordnete Zertifikat in die Zertifizierungsstelle geladen habe) und es gibt keinen Grund für ADCS,nichtSenden Sie das Zertifikat an alle Domänenmitglieder.
F2: Wenn nicht, was ist die kanonischste/richtige Methode, um die Domänenmitglieder dazu zu bringen, der Stammzertifizierungsstelle zu vertrauen?
Antwort1
Sie müssen das Stamm-CA-Zertifikat exportieren (auf einen USB-Stick, wenn die ROOT-CA – hoffentlich – nicht mit dem Netzwerk verbunden ist). Anschließend müssen Sie das Zertifikat mit certutil -dspublish RootCACertificate RootCA in AD veröffentlichen. Sobald dies erledigt ist, wird das Zertifikat auf allen in die Domäne eingebundenen Computern zu ihrer Liste der vertrauenswürdigen Stammzertifizierungsstellen hinzugefügt und sie sollten dann beginnen, Ihren untergeordneten CAs zu vertrauen.