假設加入給定網域的 ADCS CA 的憑證由離線根 CA 簽名,然後該根 CA 受到網域/林中所有系統的信任。如果該離線根隨後用於頒發/簽署CA 證書(無限制),並且該CA 隨後為相關網域的資源頒發使用者/電腦/智慧卡證書,那麼它們是否會受到信任(即以這種方式頒發的證書)工作以驗證網域)?
答案1
如果網域中的所有電腦都信任根 CA,那麼根據定義,它們將信任由該根 CA 簽署的每個證書,包括新的子 CA 的證書。
但是,如果新的子 CA 未整合 AD,則某些電腦或應用程式在驗證整個 CA 鏈直至根時可能會出現問題;為了解決此問題,您可以Trusted Intermediate Certification Authority使用 GPO 部署子 CA 的憑證。