Я пытаюсь установить доверительные отношения между двумя недоверяющими лесами, и я хотел бы использовать либо кросс-сертификат, либо решение Bridge CA (без использования доверия AD или CEP). Я нашел множество советов о том, что это можно сделать, но я могу найти что угодно о том, как это сделать.
(картинки не отображаются - вот они на слайдах Google:3 фото снизу)
Вот что у меня есть:
Я бы хотел добавить такое доверие:
Для достижения этой цели:
Нарисовав эти изображения, я вижу, что мне чего-то не хватает, потому что я не вижу, как и где будет храниться ссылка на перекрестную сертификацию.
До сих пор мне совершенно не удалось заставить один CA подписывать что-либо (сертификат, CA, req), происходящее из иерархии другого CA. Правильно ли я поступаю? Любые указатели на то, как что-либо подписывать крестиком или на правильность моих диаграмм, были бы замечательными. Мне жаль, что это немного расплывчато, но я действительно не уверен, какой путь здесь.
Спасибо,
Джим
Хорошо, похоже, что о доверии лесов нет ничего, что связано с Active Directory, а не с PKI. Доверие PKI и доверие AD - разные вещи. То, что вы показываете на диаграммах, является квалифицированным доверием PKI, и они кажутся правильными и действительными.
Словом, нужно простое квалифицированное подчинение. Мостовой CA подходит, когда в доверии PKI более 3 участников. Вы выпускаете перекрестный сертификат для CA проверяющей стороны и распространяете этот сертификат среди членов вашего леса. Во время этого процесса вам нужно будет спланировать:
Когда все условия доверия определены, ваши шаги будут следующими:
policy.inf
файл и определить условия доверия (ограничения политики приложений, ограничения политики сертификатов, сопоставления политик, если таковые имеются, ограничения имен и т. д.)certreq -policy path\remotecacert.cer path\policy.inf path\policy.req
команда для генерации запроса кросс-сертификатаcertutil -dspublish -f crosscert.cer CrossCA
. При необходимости распространите сертификат среди не членов домена (вручную или с помощью программного обеспечения MDM).К сожалению, Microsoft похоронила множество отличных технических документов и не обновила их до новых версий, и статью нелегко найти. Однако вы можете скачать весь Устаревшее содержимое Windows Server 2003 архив и найдите тему под названием "Планирование и реализация перекрестной сертификации и квалифицированного подчинения с использованием Windows Server 2003". В этом разделе будет подробно представлена вся необходимая информация по теме.
Комментарий к принятому ответу.
MS обновила этот конкретный технический документ здесь: https://technet.microsoft.com/library/cc787237(v=ws.10)
Всем, кто хочет быстро понять кросс-сертификацию, я рекомендую иллюстрации в этом разделе вышеупомянутой статьи: https://technet.microsoft.com/library/cc785267(v=ws.10)#cross-certification-between-root-cas А именно, это хорошо показывает, что перекрестная сертификация создает «альтернативный» сертификат для перекрестно сертифицированного ЦС.
Я также нашел этот сайт, который очень четко объясняет: