
У меня есть CA, который успешно обслуживает компьютерных клиентов, и NPS (и т.д.) в порядке. В настоящее время мы хотим переместить некоторые службы за пределы периметра сети, и я хотел бы создать вторичный сертификат дляпользователиа не компьютеры. Один ключ не должен открывать все двери, я знаю, что есть приватные ключи на персональных устройствах для "особого" персонала и т. д.
полное доменное имя -> *.services.полное доменное имя
Некоторые вопросы:
- Как создать поддомен для того же леса?
- Внешний сервер Radius не подключен к нашему домену (т.е. загрузил публичный сертификат и указал его на crl)
- Сможет ли сертификат компьютера пройти аутентификацию по подчиненному сертификату?
- Если кто-то уже делал что-то подобное, мне лучше создать *.client.fqdn и *.services.fqdn?
- Могу ли я по-прежнему использовать SCEP для сертификата FQDN?
Спасибо