Я хочу установить корневой центр сертификации и центр сертификации с AD CS для моей частной среды (цель тестирования).
Нужно ли мне получать общедоступные OID (например, от IANA) или я могу пропустить это требование, поскольку мои центры сертификации являются частными в моем домене?
Для частных или тестовых сред вы можете использовать идентификаторы вымышленных объектов.
Для:
или
Я предлагаю получить бесплатный публично зарегистрированный OID от IANA: https://pen.iana.org/pen/PenApplication.page
Хотя можно бесплатно получить OID, вам следует не примените его к корневому ЦС.
OID применяются к профилям сертификатов (или шаблонам на языке Microsoft), чтобы согласовать сертификаты, созданные в этом профиле, с политикой сертификатов.
Политика будет определять требования к созданию и управлению сертификатом, который подпадает под нее, например, обязательное использование смарт-карты для хранения закрытого ключа пользователя или стандарт проверки личности, которая должна выполняться перед выдачей сертификата.
В течение срока службы вашего центра сертификации у вас может быть несколько политик, а со временем вы можете добавить больше. Если вы добавите OID (или несколько OID) к корневому ЦС, они станут каменными, и вы не сможете изменить / добавить позже, не отказавшись от сертификата корневого ЦС.
Даже если вы считаете, что вам нужно всего несколько политик и, следовательно, с самого начала добавляете их все в корневой ЦС, ваша организация вполне может объединиться в какой-то момент в будущем, и тогда ваши политики в корневом центре могут оказаться недействительными.
Намного лучше оставить корневой каталог без идентификаторов OID и назначить их в выпускающем ЦС и сертификатам конечных объектов.