Я ищу некоторые рекомендации по наилучшему подходу к настройке PKI уровня 2 с ADCS, который имеет 2 подчиненных CA для обеспечения высокой доступности. У меня есть следующие вопросы по этому поводу:
В вашем первоначальном вопросе слишком мало информации. Но если вы ищете кластерное решение, имейте в виду, что ADCS не поддерживает балансировку нагрузки. ADCS поддерживает двухузловой кластер серверов, когда в любой момент времени активен только один узел.
Для реализации отказоустойчивого кластера ADCS в вашей сети я бы посоветовал прочитать официальный технический документ Microsoft: Отказоустойчивая кластеризация и службы сертификации Active Directory. В этом техническом документе будут рассмотрены все важные аспекты кластеризации ADCS, подготовки, а также пошаговые инструкции по установке и настройке.
Как мне нужно настроить OCSP, если я собираюсь запускать их на подчиненных, которые я кластеризирую?
вы не должны совмещать роль центра сертификации ADCS с какой-либо другой ролью. Вы должны использовать выделенный сервер для размещения сервера OCSP. Кроме того, сервер OCSP не должен использоваться для точек распространения CRL. В простейшей реализации ADCS с OCSP вам потребуются следующие отдельные хосты:
Если вы хотите обеспечить избыточность OCSP, вы можете настроить несколько серверов OCSP и создать массив серверов OCSP. Подробнее о настройке сервера Microsoft OCSP: Руководство по установке, настройке и устранению неполадок сетевого ответчика