Active Directory 도메인에서 ADCS를 사용하여 하위 "엔터프라이즈" CA 서버를 만들었습니다. 이 하위 CA의 인증서에 서명한 루트 CA는 Windows 도메인의 일부가 아닙니다.
질문 1: Active Directory 도메인은 하위 CA의 인증서에 서명한 루트 CA를 자동으로 신뢰합니까? Microsoft ADCS는 이 루트 CA 인증서에 액세스할 수 있으며(서명된 하위 인증서를 CA에 로드했을 때) ADCS가~ 아니다모든 도메인 구성원에게 인증서를 보냅니다.
질문 2: 그렇지 않은 경우 도메인 구성원이 루트 CA를 신뢰하도록 하는 정식/적절한 방법은 무엇입니까?
답변1
루트 CA 인증서를 내보내야 합니다(루트 CA가 네트워크에 연결되어 있지 않은 경우 USB 스틱으로). 그런 다음 certutil -dspublish RootCACertificate RootCA를 사용하여 AD에 인증서를 게시해야 합니다. 이 작업이 완료되면 도메인에 가입된 모든 컴퓨터는 신뢰할 수 있는 루트 인증 기관 목록에 인증서가 추가되고 하위 CA를 신뢰하기 시작합니다.