Tengo una jerarquía de una CA fuera de línea (estándar) y 2 subCA (empresa).
La CA fuera de línea no se publica en Active Directory y las 2 SubCa se publican en AD.
¿Se puede modificar la CA fuera de línea para publicar en AD de modo que instale automáticamente el certificado raíz confiable en las máquinas sin afectar la configuración?
Respuesta1
La "publicación en AD" implica el uso de Active Directory para publicar listas de revocación de certificados (CRL) y los certificados de CA a través de LDAP. Es decir, las partes dependientes descargan (extraen) CRL y certificados de CA intermedios mediante el protocolo LDAP, en lugar de (o además de) HTTP.
Además, como las partes que confían confían en AD, pueden confiar en que éste distribuirá el certificado de CA raíz y lo fusionará en su almacén de certificados.
También puede usar la Política de grupo para distribuir (enviar) el certificado de CA raíz (no los intermediarios ni las CRL) a todas las partes que confían, para que puedan instalarlos en su almacén de certificados. Como se pueden orientar las políticas de grupo, esto brinda un control más preciso sobre la publicación en AD (si se requiere un control preciso).