Angenommen, das Zertifikat der einer bestimmten Domäne beigetretenen ADCS-CAs ist von einer Offline-Stamm-CA signiert, der dann alle Systeme in der Domäne/Gesamtstruktur vertrauen. Wenn diese Offline-Stamm-CA dann zum Ausstellen/Signieren eines CA-Zertifikats verwendet würde (keine Einschränkungen) und diese CA dann Benutzer-/Computer-/Smartcard-Zertifikate für Ressourcen der betreffenden Domäne ausstellen würde, wären diese dann vertrauenswürdig (d. h. würde ein auf diese Weise ausgestelltes Zertifikat zur Authentifizierung gegenüber der Domäne funktionieren)?
Antwort1
Wenn alle Computer in der Domäne der Stammzertifizierungsstelle vertrauen, vertrauen sie per Definition jedem von ihr signierten Zertifikat, einschließlich dem einer neuen untergeordneten Zertifizierungsstelle.
Wenn die neue untergeordnete Zertifizierungsstelle jedoch nicht in AD integriert ist, können bei manchen Computern oder Anwendungen Probleme bei der Validierung der gesamten Zertifizierungsstellenkette bis zur Stammzertifizierungsstelle auftreten. Um dies zu beheben, können Sie das Zertifikat der untergeordneten Zertifizierungsstelle mithilfe Trusted Intermediate Certification Authorityeiner Gruppenrichtlinie bereitstellen.