ADCS PKI - кросс-сертификация или мост CA?
Наша компания приобретается другой компанией, и нам интересно узнать, какие требования необходимы для создания решения кросс-сертификации / мостового CA.
Cross-Certification выдает Cross Certification Auth. сертификат к корневому ЦС Fabrikam от ЦС, выдавшего Contoso.
«Эффект этого сертификата перекрестного центра сертификации заключается в том, что корневой ЦС Fabrikam появляется как подчиненный ЦС выдающего ЦС Contoso, когда сертификат предоставляется компьютеру в Fabrikam».
Есть ли предпочтительный метод и почему?
Вам понадобится простая перекрестная сертификация. Он подходит для простого и удобного "объединения" двух PKI. Каждая организация перекрестно сертифицирует другую организацию и публикует перекрестные сертификаты внутри своей организации.
- нет необходимости в двунаправленном доверии AD (при условии, что списки отзыва сертификатов доступны через HTTP, а не через LDAP)
- CRL из другой организации должен быть доступен из вашей сети и наоборот.
Простая перекрестная сертификация не очень масштабируема. На практике это будет работать не более чем для 3-х полностью подключенных пиров. Чтобы установить полное доверие между всеми сторонами, количество всех выдаваемых перекрестных сертификатов рассчитывается следующим образом: 
. Другими словами, это полная топология графа.
Когда участников 4 и более, количество выданных перекрестных сертификатов резко возрастает. Вот где помогает мостовое соединение CA. Граф трансформируется в звездообразную топологию, где Мост CA является центром топологии и подключен ко всем участникам одним ребром. Общее количество требуемых перекрестных сертификатов рассчитывается следующим образом: 
Каждая сторона выдает единый перекрестный сертификат мостовому ЦС, а мостовой ЦС выдает один перекрестный сертификат каждой стороне. Когда другая организация представляет вам свой сертификат, ее цепочка проходит через перекрестный сертификат Bridge CA и заканчивается вашим собственным корневым CA.