PKI в дочернем домене

Ответить
cobion
Почетный гражданин
Сообщения: 176
Зарегистрирован: 22 апр 2016 07:26

PKI в дочернем домене

Сообщение cobion »

Доброго времени суток Уважаемые коллеги.

Есть дочерний домен it.main.ru . В дочернем домене решили поднимать инфраструктуру PKI.

Подскажите пожалуйста, можем ли мы поднять в дочернем домене свой изолированный root и выдающий Enterprise PKI независимо от доменной иерархии ?
И что будет , если в корневом домене уже есть своя инфраструктура PKI ?
Нужны ли права Enterprise Admins если я устанавливаю Enterprise PKI, или установка CA ограничивается доменом, или все же информация заносится в раздел configuration ?

Спасибо.
Аватара пользователя
Leonid Shapiro
Сообщения: 1
Зарегистрирован: 06 авг 2018 12:02

Re: PKI в дочернем домене

Сообщение Leonid Shapiro »

Небольшое, но важное уточнение к вашему вопросу: Корневой УЦ (удостоверяющий центр) не должен являться членом какого-либо домена. Это независимый отдельностоящий сервер, который еще обычно выключен. То есть он никак не привязан к вашей доменной структуре. Соответственно, вы можете разворачивать сколько угодно RootCA. Более того, если вы обратите внимание, то в консоли certificates, в разделе Trusted Root Certification Authorities, вы увидите довольно большое количество корневых серверов. Так достигается доверие к внешним сертификатам у вашего клиента. Так что ответ на первую часть вопроса - да можно. Теперь вторая часть, что будет, если уже есть своя инфраструктура открытого ключа? Ответ такой - они будут существовать параллельно. Надо только иметь в виду особенности работы контроллеров доменов и серверов exchange, чтобы они использовали сертификаты оттуда, откуда это требуется в рамках вашего проекта. То есть больше внимания к правам на шаблоны сертификатов (certificate templates). Для установки EnterpriseCA нужны права Enterprise Admin.
Ответить

Вернуться в «Windows Server 2008/2008 R2»