Назад | Перейти на главную страницу

Как создать кросс-сертификаты (или мостовые CA) в ADCS?

Я пытаюсь установить доверительные отношения между двумя недоверяющими лесами, и я хотел бы использовать либо кросс-сертификат, либо решение Bridge CA (без использования доверия AD или CEP). Я нашел множество советов о том, что это можно сделать, но я могу найти что угодно о том, как это сделать.

(картинки не отображаются - вот они на слайдах Google:3 фото снизу)

Вот что у меня есть:

Я бы хотел добавить такое доверие:

Для достижения этой цели:

Нарисовав эти изображения, я вижу, что мне чего-то не хватает, потому что я не вижу, как и где будет храниться ссылка на перекрестную сертификацию.

До сих пор мне совершенно не удалось заставить один CA подписывать что-либо (сертификат, CA, req), происходящее из иерархии другого CA. Правильно ли я поступаю? Любые указатели на то, как что-либо подписывать крестиком или на правильность моих диаграмм, были бы замечательными. Мне жаль, что это немного расплывчато, но я действительно не уверен, какой путь здесь.

Спасибо,

Джим

Хорошо, похоже, что о доверии лесов нет ничего, что связано с Active Directory, а не с PKI. Доверие PKI и доверие AD - разные вещи. То, что вы показываете на диаграммах, является квалифицированным доверием PKI, и они кажутся правильными и действительными.

Словом, нужно простое квалифицированное подчинение. Мостовой CA подходит, когда в доверии PKI более 3 участников. Вы выпускаете перекрестный сертификат для CA проверяющей стороны и распространяете этот сертификат среди членов вашего леса. Во время этого процесса вам нужно будет спланировать:

  • какие типы сертификатов (по EKU) вы будете принимать?
  • есть ли определенные политики сертификатов, которые вы хотите сопоставить?
  • каким пространствам имен вы будете доверять?
  • и так далее

Когда все условия доверия определены, ваши шаги будут следующими:

  • получить сертификат CA проверяющей стороны
  • подготовить policy.inf файл и определить условия доверия (ограничения политики приложений, ограничения политики сертификатов, сопоставления политик, если таковые имеются, ограничения имен и т. д.)
  • использовать certreq -policy path\remotecacert.cer path\policy.inf path\policy.req команда для генерации запроса кросс-сертификата
  • отправьте его на свой локальный сервер CA и выдайте сертификат
  • распространить сертификат среди всех членов леса AD, опубликовав его в AD: certutil -dspublish -f crosscert.cer CrossCA. При необходимости распространите сертификат среди не членов домена (вручную или с помощью программного обеспечения MDM).

К сожалению, Microsoft похоронила множество отличных технических документов и не обновила их до новых версий, и статью нелегко найти. Однако вы можете скачать весь Устаревшее содержимое Windows Server 2003 архив и найдите тему под названием "Планирование и реализация перекрестной сертификации и квалифицированного подчинения с использованием Windows Server 2003". В этом разделе будет подробно представлена ​​вся необходимая информация по теме.

Комментарий к принятому ответу.

MS обновила этот конкретный технический документ здесь: https://technet.microsoft.com/library/cc787237(v=ws.10)

Всем, кто хочет быстро понять кросс-сертификацию, я рекомендую иллюстрации в этом разделе вышеупомянутой статьи: https://technet.microsoft.com/library/cc785267(v=ws.10)#cross-certification-between-root-cas А именно, это хорошо показывает, что перекрестная сертификация создает «альтернативный» сертификат для перекрестно сертифицированного ЦС.

Я также нашел этот сайт, который очень четко объясняет:

https://haelters.wordpress.com/2016/12/15/cross-certification-with-constraints-using-windows-server-part-2/