Я подумываю о том, чтобы защитить свою рабочую среду с помощью сертификатов, и поэтому у меня есть пара вопросов.
Мой домен Active Directory - domain.com. Если я куплю коммерческий сертификат SSL с подстановочными знаками, например, в COMODO, можно ли создать сертификат пользователя S / MIME (после установки CA на контроллере домена: dc.domain.com)?
Путь сертификации: COMODO CA -> Промежуточный CA -> * .domain.com -> user@domain.com
Это выполнимо или мне нужно покупать индивидуальный сертификат для каждого пользователя в COMODO? Если да, можно ли доверять этому сертификату за пределами моей организации?
Второй вопрос касается развертывания сертификатов S / MIME. Есть ли объект групповой политики для распространения пользовательских сертификатов, прикрепления его к учетной записи электронной почты и публикации глобального списка адресов?
Спасибо за любые предложения.
Нет, так не пойдет. Сертификаты, приобретенные в коммерческих центрах сертификации, не могут подписывать другие сертификаты. Чтобы подписать другие сертификаты, ваш сертификат должен иметь Basic Constraints расширение сертификата с isCA бит установлен в 1. Однако для всех сертификатов, приобретенных у коммерческих поставщиков, этот бит установлен в 0. Хотя технически можно создать такую конфигурацию, она не будет работать из-за ошибки проверки сертификата.
Для каждого почтового адреса необходимо приобрести отдельный сертификат.
после установки CA на контроллере домена: dc.domain.com
Обратите внимание: НИКОГДА не устанавливайте CA на контроллеры домена. Если установлен, он должен быть установлен на выделенном сервере.