Мне недавно была поручена задача настроить центр сертификации в нашей доменной среде, и у меня есть вопрос, почему Microsoft что-то делает так, как они делают lol. Я пытался узнать, что лучше всего подходит для решения этой задачи, и решил, что в идеальной среде ЦС у вас должен быть один «автономный» корневой ЦС, а затем два подчиненных ЦС для избыточности / выдачи сертификатов. Это все хорошо, я понимаю, как это работает и почему, но, когда я возился с песочницей, которую я настроил, то, как вы добавляете центры сертификации в среду домена, кажется чрезвычайно тривиальным и противоречит всем их передовым методам ...
Кто-нибудь знает, для чего нужен корневой центр сертификации предприятия, интегрированный в Active Directory? Из того, что я прочитал, после установки корпоративного корневого центра сертификации, интегрированного в Active Directory, он остается в Active Directory в течение длительного времени и не должен отключаться / переименовываться / касаться ни при каких обстоятельствах. Если это так, то это, по-видимому, противоречит практике создания автономного корневого ЦС, добавления подчиненных и последующего отключения корневого центра.
Спасибо за любой отзыв, который вы можете предложить!
Корневой ЦС можно легко превратить в ЦС предприятия, потому что такое развертывание имеет смысл в некоторых сценариях. Для многих развертываний не нужен или не нужен автономный автономный корень или какие-либо промежуточные звенья; они могут прекрасно работать с корпоративным корнем. Скажем, например, если вы не выпускаете более пары шаблонов с долгим сроком службы (так что доступность не является большой проблемой) и вам не нужно часто публиковать списки отзыва сертификатов.
Я здесь с вами в том, что слишком легко просто выбросить плохо спланированный центр сертификации - вы понимаете, насколько тщательно их следует планировать, после просмотра документации, но это не очевидно, когда вы выполняете установку (и не заставляйте меня говорить об одновременной необходимости и неясности capolicy.inf - поместите это в графический интерфейс!).
Я занимался очисткой этих недоработанных развертываний больше, чем я хотел бы признать, но их удаление определенно выполнимо (убедитесь, что все клиенты доверяют новому корню, удалите шаблоны из старого центра сертификации, увеличьте версию шаблона для принудительной повторной регистрации против нового CA); просто это требует гораздо больше работы и тщательного планирования, чем было заложено при первоначальном небрежном развертывании.