可能是個愚蠢的問題,但我不想冒險搞亂工作系統。
我們有兩個獨立的活動目錄,比如說「example.local」和「example.com」。兩者之間存在信任,因此這些域實際上是相連的。
我們將在幾天內設定一個新軟體,它需要與兩個網域的安全 LDAP 連線(基於 SSL 的 LDAP)。目前沒有可用的 CA。
根據微軟我們必須建立一個 CA,建立一個新的伺服器驗證憑證並將該憑證分發給所有 DC。
我想知道是否也必須將相同的憑證分發到其他網域的 DC?或者我必須設定兩個單獨的 CA(每個網域一個)並將每個憑證僅分發到其相應的 DC?我有點困惑,提前抱歉!
答案1
感謝@GregAskew,我找到了一位官方微軟指導。
基本上整個過程可以分為四個步驟:
- 在資源林(部署 ADCS 的林)和帳戶林之間建立雙向信任。
- 在資源林中配置CA以支援跨林註冊。
- 複製證書範本。
- 將 PKI 物件複製到帳戶林。