вторичный полный домен для центра сертификации

вторичный полный домен для центра сертификации

У меня есть CA, который успешно обслуживает компьютерных клиентов, и NPS (и т.д.) в порядке. В настоящее время мы хотим переместить некоторые службы за пределы периметра сети, и я хотел бы создать вторичный сертификат дляпользователиа не компьютеры. Один ключ не должен открывать все двери, я знаю, что есть приватные ключи на персональных устройствах для "особого" персонала и т. д.

полное доменное имя -> *.services.полное доменное имя

Некоторые вопросы:

  • Как создать поддомен для того же леса?
  • Внешний сервер Radius не подключен к нашему домену (т.е. загрузил публичный сертификат и указал его на crl)
    • Сможет ли сертификат компьютера пройти аутентификацию по подчиненному сертификату?
  • Если кто-то уже делал что-то подобное, мне лучше создать *.client.fqdn и *.services.fqdn?
  • Могу ли я по-прежнему использовать SCEP для сертификата FQDN?

Спасибо

Связанный контент