Eu tenho uma hierarquia de uma CA offline (padrão) e 2 subCAs (empresa).
A CA offline não é publicada no Active Directory e os 2 SubCas são publicados no AD.
A CA offline pode ser modificada para publicar no AD para instalar automaticamente o certificado raiz confiável nas máquinas sem afetar a configuração?
Responder1
"Publicar no AD" envolve o uso do Active Directory para publicar listas de revogação de certificados (CRLs) e certificados de CA via LDAP. Ou seja, as partes confiantes baixam (pull) CRLs e certificados de CA intermediários usando o protocolo LDAP, em vez de (ou além de) HTTP.
Além disso, como as partes confiáveis confiam no AD, elas podem confiar no certificado CA raiz para ser distribuído por ele e mesclá-lo em seu armazenamento de certificados.
Você também pode usar a Política de Grupo para distribuir (enviar) o certificado da CA raiz (não os intermediários nem as CRLs) para todas as partes confiáveis, para que elas possam instalá-los em seu armazenamento de certificados. Como as Políticas de Grupo podem ser direcionadas, isso proporciona um controle mais preciso sobre a publicação no AD (se for necessário um controle preciso).