У меня есть иерархия из одного автономного центра сертификации (стандартного) и двух субцентров сертификации (корпоративного).
Автономный центр сертификации не опубликован в Active Directory, а 2 дополнительных центра сертификации опубликованы в AD.
Можно ли модифицировать автономный центр сертификации для публикации в AD, чтобы он автоматически устанавливал доверенный корневой сертификат на машины, не влияя на конфигурацию?
решение1
«Публикация в AD» подразумевает использование Active Directory для публикации списков отзыва сертификатов (CRL) и сертификатов CA через LDAP. То есть, проверяющие стороны загружают (извлекают) CRL и промежуточные сертификаты CA, используя протокол LDAP, вместо (или в дополнение к) HTTP.
Кроме того, поскольку проверяющие стороны доверяют AD, они могут доверять распространению ею корневого сертификата CA и добавлять его в свое хранилище сертификатов.
Вы также можете использовать групповую политику для распространения (push) корневого сертификата CA (не промежуточных или CRL) всем полагающимся сторонам, чтобы они могли установить их в своем хранилище сертификатов. Поскольку групповые политики могут быть целевыми, это обеспечивает более тонкий контроль над публикацией в AD (если требуется точный контроль).