Puede que sea una pregunta tonta, pero no quiero arriesgarme a estropear un sistema que funciona.
Tenemos dos Directorios Activos separados, digamos "ejemplo.local" y "ejemplo.com". Existe una confianza entre los dos, por lo que estos dominios en realidad están conectados.
Configuraremos un nuevo software en un par de días y requiere una conexión LDAP segura a ambos dominios (LDAP sobre SSL). Actualmente no hay ninguna CA disponible.
De acuerdo amicrosoftTenemos que configurar una CA, crear un nuevo certificado de autenticación de servidor y distribuirlo a todos los DC.
Me pregunto si también tengo que distribuir el mismo certificado a los DC del otro dominio. ¿O tengo que configurar dos CA separadas (una para cada dominio) y distribuir cada certificado solo a sus DC correspondientes? Estoy un poco confundido, ¡lo siento de antemano!
Respuesta1
Gracias a @GregAskew pude encontrar un funcionarioGuía de Microsoft.
Básicamente todo el procedimiento se puede dividir en cuatro pasos:
- Cree una confianza bidireccional entre el bosque de recursos (bosque donde se implementa ADCS) y el bosque de cuentas.
- Configure la CA en el bosque de recursos para admitir la inscripción entre bosques.
- Copiar plantillas de certificados.
- Copie los objetos PKI al bosque de cuentas.