Предположим, что сертификаты центров сертификации ADCS, присоединенных к данному домену, подписаны автономным корневым центром сертификации, которому затем доверяют все системы в домене/лесу. Если этот автономный корень затем использовался для выпуска/подписания сертификата центра сертификации (без ограничений) и этот центр сертификации затем выпускал сертификаты пользователя/компьютера/смарт-карты для ресурсов рассматриваемого домена, будут ли они доверенными (т. е. будет ли сертификат, выпущенный таким образом, работать для аутентификации в домене)?
решение1
Если все компьютеры в домене доверяют корневому центру сертификации, то по определению они будут доверять каждому сертификату, подписанному им, включая сертификат нового дочернего центра сертификации.
Однако если новый суб-ЦС не интегрирован с AD, у некоторых компьютеров или приложений могут возникнуть проблемы с проверкой всей цепочки ЦС вплоть до корня. Чтобы исправить это, можно развернуть сертификат суб-ЦС как объект Trusted Intermediate Certification Authorityгрупповой политики.