Creé un servidor CA "empresarial" subordinado usando ADCS en un dominio de directorio activo. La CA raíz que firmó el certificado de esta CA subordinada no forma parte del dominio de Windows.
P1: ¿El dominio del directorio activo confía automáticamente en la CA raíz que firmó el certificado de la CA subordinada? Microsoft ADCS tiene acceso a este certificado de CA raíz (cuando cargué el certificado subordinado firmado en la CA) y no hay ningún motivo para que ADCSnoenvíe el certificado a todos los miembros del dominio.
P2: Si no es así, ¿cuál es la forma canónica/adecuada de lograr que los miembros del dominio confíen en la CA raíz?
Respuesta1
Deberá exportar el certificado de CA raíz (a una memoria USB si, con suerte, la CA ROOT no está conectada a la red). Luego deberá publicar el certificado en AD utilizando certutil -dspublish RootCACertificate RootCA. Una vez hecho esto, a todas las computadoras unidas al dominio se les agregará el certificado a su lista de autoridades de certificación raíz confiables y luego deberían comenzar a confiar en sus CA subordinadas.