ЦС Windows: переключение самозаверяющего корневого сертификата с сертификатом от поставщика
В нашем домене Windows (серверы 2008R2 и 2012R2) мы запускаем домен CA. Корневой сертификат - это самозаверяющий сертификат.
У нас также есть сертификат x.509 от нашего интернет-провайдера (в основном для наших веб-сайтов), подписанный доверенным интернет-центром сертификации.
Я хочу удалить самозаверяющий корневой сертификат из центра сертификации Windows и заменить его сертификатом от нашего поставщика.
Два вопроса: 1. Возможно ли такое? Могу ли я использовать сертификат доверенного центра сертификации в качестве корневого сертификата для моего собственного центра сертификации? 2. возможно ли это без перестройки всего домена? Я думаю, что контроллерам домена нужны сертификаты для их связи LDAP, что произойдет, если я просто переключу корневой сертификат, который они использовали для создания своих собственных сертификатов?
Спасибо за вашу помощь!
У нас также есть сертификат x.509 от нашего интернет-провайдера (в основном для наших веб-сайтов), подписанный доверенным интернет-центром сертификации.
Извините, это обычно невозможно. Есть basic constraints в сертификате X.509, и один из них говорит, может ли он подписывать другие сертификаты. Обычно центры сертификации не выдают такие сертификаты другим лицам.
Это пример сертификата, которому разрешено подписывать другие сертификаты:
Это пример нормальный cert - запрещается подписывать другие сертификаты:
Я бы не стал об этом беспокоиться. Практически все общедоступные центры сертификации имеют самозаверяющие корневые сертификаты, так почему бы вашему частному центру сертификации также не иметь самозаверяющий корневой сертификат?