我在活動目錄網域上使用 ADCS 建立了一個從屬「企業」CA 伺服器。簽署此從屬 CA 憑證的根 CA 不屬於 Windows 網域。
問題 1:Active Directory 網域是否自動信任簽署從屬 CA 憑證的根 CA? Microsoft ADCS 可以存取此根 CA 憑證(當我將簽署的從屬憑證載入到 CA 中),並且 ADCS 沒有理由不是將憑證傳送給所有網域成員。
問題 2:如果不是,讓網域成員信任根 CA 的規範/正確方法是什麼?
答案1
您需要匯出根 CA 憑證(如果根 CA 未連接網絡,請匯出到 USB 記憶棒)。然後,您需要使用 certutil -dspublish RootCACertificate RootCA 將憑證發佈到 AD。完成此操作後,所有加入網域的電腦都會將憑證新增至其受信任的根憑證授權單位清單中,然後應該開始信任您的從屬 CA。