Suponiendo que el certificado de las CA ADCS unidas a un dominio determinado esté firmado por una CA raíz fuera de línea en la que luego confían todos los sistemas del dominio/bosque. Si esa raíz fuera de línea se usara para emitir/firmar un certificado de CA (sin restricciones) y esa CA luego emitiera certificados de usuario/computadora/tarjeta inteligente para los recursos del dominio en cuestión, ¿serían confiables (es decir, un certificado emitido de esta manera? funciona para autenticarse en el dominio)?
Respuesta1
Si todas las computadoras del dominio confían en la CA raíz, entonces, por definición, confiarán en todos los certificados firmados por ella, incluido el de una nueva subCA.
Sin embargo, si la nueva subCA no está integrada en AD, algunas computadoras o aplicaciones podrían tener problemas al validar toda la cadena de CA hasta la raíz; Para solucionar este problema, puede implementar el certificado de la subCA mediante Trusted Intermediate Certification Authorityun GPO.