Criei um servidor CA "empresarial" subordinado usando ADCS em um domínio do Active Directory. A CA raiz que assinou o certificado desta CA subordinada não faz parte do domínio do Windows.
Q1: O domínio do Active Directory confia automaticamente na CA raiz que assinou o certificado da CA subordinada? O Microsoft ADCS tem acesso a este certificado CA raiz (quando carreguei o certificado subordinado assinado na CA) e não há razão para o ADCSnãoenvie o certificado para todos os membros do domínio.
P2: Caso contrário, qual é a maneira canônica/correta de fazer com que os membros do domínio confiem na CA raiz?
Responder1
Você precisará exportar o certificado CA raiz (para um pendrive se a CA ROOT não estiver - esperançosamente - conectada à rede). Em seguida, você precisa publicar o certificado no AD usando certutil -dspublish RootCACertificate RootCA. Feito isso, todos os computadores ingressados no domínio obterão o certificado adicionado à sua lista de autoridades de certificação raiz confiáveis e deverão então começar a confiar em suas CAs subordinadas.