오프라인 CA(표준) 1개와 하위 CA(기업) 2개의 계층 구조가 있습니다.
오프라인 CA는 Active Directory에 게시되지 않으며 2개의 SubCa는 AD에 게시됩니다.
구성에 영향을 주지 않고 컴퓨터에 신뢰할 수 있는 루트 인증서를 자동으로 설치하도록 오프라인 CA를 수정하여 AD에 게시할 수 있습니까?
답변1
"AD에 게시"에는 Active Directory를 사용하여 LDAP를 통해 CRL(인증서 해지 목록) 및 CA 인증서를 게시하는 작업이 포함됩니다. 즉, 신뢰 당사자는 HTTP 대신(또는 HTTP에 추가하여) LDAP 프로토콜을 사용하여 CRL 및 중간 CA 인증서를 다운로드(가져오기)합니다.
또한 신뢰 당사자는 AD를 신뢰하므로 AD에서 배포할 루트 CA 인증서를 신뢰하고 인증서 저장소에 저장할 수 있습니다.
또한 그룹 정책을 사용하여 루트 CA(중간 CA 또는 CRL 아님) 인증서를 모든 신뢰 당사자에게 배포(푸시)하여 해당 당사자가 인증서 저장소에 설치할 수 있도록 할 수도 있습니다. 그룹 정책을 대상으로 지정할 수 있으므로 AD 게시를 더욱 세밀하게 제어할 수 있습니다(세밀한 제어가 필요한 경우).