Я создал подчиненный сервер CA "enterprise" с использованием ADCS в домене Active Directory. Корневой CA, подписавший сертификат этого подчиненного CA, не является частью домена Windows.
В1: Домен Active Directory автоматически доверяет корневому CA, подписавшему сертификат подчиненного CA? У Microsoft ADCS есть доступ к этому корневому CA (когда я загрузил подписанный подчиненный сертификат в CA), и нет причин для ADCSнетразослать сертификат всем членам домена.
В2: Если нет, то каков канонический/правильный способ заставить членов домена доверять корневому центру сертификации?
решение1
Вам нужно будет экспортировать сертификат корневого центра сертификации (на USB-накопитель, если корневой центр сертификации (ROOT CA) — надеюсь — не подключен к сети). Затем вам нужно будет опубликовать сертификат в AD с помощью certutil -dspublish RootCACertificate RootCA. После этого все компьютеры, подключенные к домену, получат сертификат, добавленный в их список доверенных корневых центров сертификации, и должны будут начать доверять вашим подчиненным центрам сертификации.