У меня есть Windows 2003 AD, и я установил корневой CA и Sub CA, оба из которых являются Windows 2008 (присоединены к домену). Мне нужно использовать sub CA для создания сертификатов конечного пользователя для цифровой подписи, они должны иметь возможность генерировать с URL-адреса (самостоятельная запись). Может кто-нибудь посоветовать, смогу ли я это сделать?
а. без обновления схемы в объявлении? с 2003 по 2008 год
б. или, скорее, сделать их отдельно стоящими? шаблоны будут работать таким образом?
Нет, вам не нужно расширение схемы для использования CA 2008. Видеть Требования к схеме AD для функций Windows PKI.
Вам лучше использовать подчиненного предприятия, чем отдельного подчиненного. Однако обычно используется автономный корневой центр сертификации.
PKI - это то, что вы должны спланировать перед внедрением (а не пытаться модернизировать позже). Вас может оттолкнуть количество имеющейся документации. Тем не менее, я предлагаю вам просмотреть документацию, начиная с содержимого блога AskDS, где размещают сообщения инженеры службы поддержки Microsoft.
Видеть Проектирование и реализация PKI: Часть I Проектирование и планирование и другие последовательные блоги, чтобы получить хорошее введение в разработку корпоративной реализации PKI.