Может, это глупый вопрос, но я не хочу рисковать испортить работающую систему.
У нас есть два отдельных Active Directory, скажем, "example.local" и "example.com". Между ними есть доверие, поэтому эти домены фактически связаны.
Мы настроим новое программное обеспечение в течение пары дней, и оно требует безопасного LDAP-подключения к обоим доменам (LDAP через SSL). В настоящее время CA недоступен.
В соответствии сМайкрософтнам необходимо настроить центр сертификации, создать новый сертификат аутентификации сервера и распространить его среди всех контроллеров домена.
Мне интересно, должен ли я распространять тот же самый сертификат на DC другого домена? Или мне нужно настроить два отдельных CA (по одному на каждый домен) и распространять каждый сертификат только на соответствующие DC? Я немного запутался, извините заранее!
решение1
Благодаря @GregAskew мне удалось найти официальногоРуководство Microsoft.
По сути всю процедуру можно разделить на четыре этапа:
- Создайте двустороннее доверие между лесом ресурсов (лесом, в котором развернута ADCS) и лесом учетных записей.
- Настройте ЦС в лесу ресурсов для поддержки регистрации между лесами.
- Копировать шаблоны сертификатов.
- Копировать объекты PKI в лес учетных записей.