Я пытаюсь настроить двухуровневую PKI, и у меня масса вопросов. Поскольку для AD существует предел захоронения, я предполагаю, что корень (который будет отключен) не должен быть частью AD. Я прав?
Я рассматривал установку с одним корневым центром сертификации и несколькими промежуточными звеньями (для разных целей). Итак, корнем может быть отдельный стандарт Windows или Linux + OpenSSL (не знаю, возможно ли это / рекомендуется ли). Один из промежуточных центров сертификации должен быть частью AD (автоматическая регистрация и т.п.).
Итак, мои вопросы:
Может ли рут быть автономным (не частью AD)? Вызовет ли это какие-либо проблемы с цепочкой сертификатов и т.п.?
Может ли рут быть Linux + OpenSSL? Будет ли это труднее управлять?
Или есть обходной путь для ограничения надгробия?
Спасибо.
Видеть :http://blogs.technet.com/b/askds/archive/2009/10/13/designing-and-implementing-a-pki-part-ii.aspx[1] и http://pki-tutorial.readthedocs.org/en/latest/advanced/index.html[2] для справок.
Я пытаюсь настроить двухуровневую PKI, и у меня масса вопросов. Поскольку для AD существует предел захоронения, я предполагаю, что корень (который будет отключен) не должен быть частью AD. Я прав?
Верный. Ваш автономный корневой ЦС будет компьютером рабочей группы. Вы будете включать его только в целях обновления сертификатов выдающего CA и публикации CRL. Обычно вы раздаете открытый ключ / сертификат корневого пользователя всем клиентам через GPO.
Я рассматривал установку с одним корневым центром сертификации и множеством промежуточных звеньев (для разных целей). Итак, корнем может быть отдельный стандарт Windows или Linux + OpenSSL (не знаю, возможно ли это / рекомендуется ли). Один из промежуточных центров сертификации должен быть частью AD (автоматическая регистрация и т.п.).
Я бы не стал смешивать Windows и Linux в одной PKI. От этого нет никакой пользы, и вы просто усложняете управление PKI.
Microsoft указывает, что автономный компьютер корневого центра сертификации не должен быть членом домена, так что это не вызовет у вас никаких проблем и делает спорным вопрос о сроках жизни AD tombstone. А именно:
Настройте сервер под управлением Windows, который вы будете использовать в качестве корневого центра сертификации. Сервер не должен быть членом какого-либо домена, должен быть отключен от сети и должен быть физически безопасным.
Я не пробовал всестороннего тестирования совместимости с OpenSSL и Windows CA, но, в принципе, он должен работать нормально - это все стандартные PKI. Конечно, я подписывал сертификаты для серверов Windows с использованием OpenSSL много-много раз без каких-либо побочных эффектов. Если вам удобно использовать инструменты OpenSSL для выдачи сертификатов для центров сертификации второго уровня, это не вызовет у вас особых проблем с управлением.
Я не вижу особой пользы от развертывания корневого центра сертификации с использованием одного набора инструментов и промежуточного (-ых) набора (-ов) с использованием другого. Вы, конечно, можете, но я не понимаю, как это вам что-то «дает».