В настоящее время имеется один автономный центр сертификации и один вспомогательный центр сертификации, в котором только что установлена система регистрации через Интернет. Также рассматривается реализация NDES и OCSP.
Я знаю, что веб-регистрацию можно установить в выдающем ЦС, как и у меня, но как лучше всего справиться с реализацией этого с точки зрения того, что можно установить вместе ...
Следует ли мне отключить веб-регистрацию и установить NDES и его на одном сервере, а OCSP - на выделенном?
Должен ли я продолжать регистрацию на Iussuing для ручных сертификатов и иметь еще два сервера для NDES и OCSP или OCSP всегда должен быть автономным?
CA- srv1, выдача с регистрацией srv2, NDES / OCSP- srv3
CA- srv1, Issuing- srv2, Web Enroll / NDES- srv3, OCSP- srv4
CA- srv1, Issuing- srv2, Интернет-регистрация / NDES / OCSP- srv3
и т.д
Имеет ли смысл то, что я пытаюсь понять? Трудно найти что-либо, показывающее, какие роли можно установить вместе, а какие всегда должны быть отделены с точки зрения лучших практик.
Это может быть не по теме, потому что это вопрос планирования емкости, но то, как вы это установите, во многом зависит от того, насколько интенсивно он будет использоваться. Поскольку вы планируете иметь только один выдающий ЦС, я надеюсь, что он, вероятно, не будет слишком интенсивно использоваться. Вы можете настроить все на одной машине, если хотите, так что это ответит на ваш вопрос. Но вы бы действительно этого хотели? Это другой вопрос. Зачем вам все настраивать на одном сервере? Например, сетевой ответчик предназначен специально для устройств, которые не могут связаться с центром сертификации (где находится точка распространения списков отзыва сертификатов) для проверки отзыва сертификата ... поэтому нет смысла размещать его на том же сервере. Или, если у вас огромная сеть и вы хотите распределить нагрузку по проверке CRL, но поскольку у вас есть только один выдающий CA, это сомнительно.