我有一個由 1 個離線 CA(標準)和 2 個子 CA(企業)組成的層次結構。
離線 CA 未在 Active Directory 中發布,而 2 個 SubCa 則在 AD 中發布。
能否修改離線CA發佈到AD,使其自動在機器上安裝受信任的根憑證而不影響設定?
答案1
「發佈到 AD」涉及使用 Active Directory 透過 LDAP 發布憑證撤銷清單 (CRL) 和 CA 憑證。也就是說,依賴方使用 LDAP 協定而不是(或除了 HTTP 之外)下載(拉取)CRL 和中間 CA 憑證。
此外,由於依賴方信任 AD,他們可以信任 AD 分發的根 CA 憑證並將其合併到他們的憑證儲存中。
您還可以使用群組原則將根 CA(不是中間體或 CRL)憑證分發(推送)給所有依賴方,以便他們可以將它們安裝在其憑證儲存中。由於群組原則可以有針對性,因此可以更好地控制向 AD 的發布(如果需要精細控制)。