특정 도메인에 가입된 ADCS CA의 인증서가 도메인/포리스트의 모든 시스템에서 신뢰되는 오프라인 루트 CA에 의해 서명되었다고 가정합니다. 그런 다음 오프라인 루트를 사용하여 CA 인증서를 발급/서명하고(제약 없음) 해당 CA가 문제의 도메인 리소스에 대해 사용자/컴퓨터/스마트 카드 인증서를 발급했다면 해당 CA는 신뢰할 수 있습니까?(즉, 인증서가 이런 방식으로 발급됩니까?) 도메인 인증 작업) ?
답변1
도메인의 모든 컴퓨터가 루트 CA를 신뢰하는 경우 정의에 따라 새 하위 CA의 인증서를 포함하여 루트 CA가 서명한 모든 인증서를 신뢰하게 됩니다.
그러나 새 하위 CA가 AD에 통합되지 않은 경우 일부 컴퓨터 또는 응용 프로그램은 루트까지 전체 CA 체인의 유효성을 검사하는 데 문제가 있을 수 있습니다. 이 문제를 해결하려면 Trusted Intermediate Certification AuthorityGPO를 사용하여 하위 CA의 인증서를 배포할 수 있습니다.