Я настраиваю PKI, которая изначально будет использоваться для внутренних целей. По мере того, как мы можем расширять наше использование этого, я выбрал трехуровневую иерархию - автономные корневые центры сертификации и центры сертификации политик (в настоящее время один центр сертификации политики для внутреннего использования) и выдающие центры сертификации онлайн. Первоначально мы обсуждали использование наших контроллеров домена в качестве выдающих центров сертификации, а не создание выделенных.
Теперь я начинаю сомневаться в том, стоит ли поручить нашим DC выпускать сертификаты. У нас меньше 1000 пользователей, поэтому наши контроллеры домена не облагаются большими налогами.
Есть ли у кого-нибудь предложения за или против этого?
В настоящее время мы работаем под управлением Windows 2003 Active Directory, но в следующем году мы выполним обновление до Windows 2008. Я настраиваю Windows 2008 PKI.
Немного поздно, но все равно. Обычно не рекомендуется развертывать роль CA на DC. Это затрудняет обновление AD, поскольку вам необходимо обновлять контроллер домена для более новых выпусков ОС. Это неудобно при переходе от DC с 32-разрядной ОС к 64-разрядным ОС, например Windows Server 2008 R2. Кроме того, поскольку предпочтение отдается продвижению новых контроллеров домена с чистой компоновкой, а не обновлению на месте, когда дело доходит до понижения уровня старого комбо DC / CA, это делает его неудобным.