Нужна помощь по материалам для настройки многоуровневой инфраструктуры PKI между лесами. Единственные статьи, которые я могу найти, - это просто настройка основных двухуровневых систем в одном домене.
В основном у нас есть домен управления (мы покупаем компании каждый год, кажется, у нас есть это, чтобы помочь процессу консолидации). Назовем это domain1.com. Мы успешно настроили центр сертификации в domain1.com в двухуровневом формате (автономный корень с подключенным корпоративным дочерним узлом).
subca.domain1.com
Прямо сейчас я не уверен, как получить новый домен, domain2.com, поэтому получите сертификаты от subca domain1.com. Microsoft сказала, что мне нужно создать дочернюю компанию для каждого отдельного домена, которая связана с domain1.com.
subca.domain2.com
Это звучит правильно? Как мне настроить subca.domain2.com для публикации сертификатов в контроллерах домена domain2.com, когда корневой центр находится в domain1? Конечным результатом является начало выполнения LDAPS в domain2.com. Спасибо всем, кто может указать мне правильное направление ...
Позиция Microsoft верна, но требует пояснения: обычно нужно развернуть отдельный CA-сервер для каждого *лес*. Например, вам не нужно развертывать отдельный центр сертификации, например, в домене corp.domain1.com.
В итоге есть два поддерживаемых решения:
как сказала Microsoft, вам необходимо развернуть отдельный центр сертификации в каждом приобретенном лесу AD. В этом случае у каждого ЦС есть отдельный центр, который может выдавать сертификаты только соответствующим лесным клиентам.
Имея Windows Server 2008 R2 (или новее) в качестве центра сертификации в родительском лесу, вы можете установить регистрацию сертификатов между лесами: AD CS: развертывание регистрации сертификатов между лесами. Для этого требуется двустороннее доверие между лесами. Это позволит использовать сервер CA, расположенный в родительском лесу, для развертывания сертификатов для всех доверенных клиентов леса.
любой вариант требует некоторых административных усилий. Но если вы собираетесь перенести приобретенные леса в родительский или управлять ими централизованно, я бы выбрал вариант 2. В противном случае, если в каждом лесу будет выделенный ИТ-персонал, вариант 1 будет более подходящим.
Также хочу напомнить, что есть Веб-службы регистрации, которые упрощают процесс регистрации сертификатов в лесах. Вам даже не нужно выполнять синхронизацию объекта AD PKI, потому что клиенты будут использовать серверы CEP / CES для целей регистрации.