Удостоверяющий центр в субдомене.

Ответить
cobion
Гражданин
Сообщения: 118
Зарегистрирован: 22 апр 2016 07:26

Удостоверяющий центр в субдомене.

Сообщение cobion » 24 июл 2021 10:38

Привет коллеги.
Есть инфраструктура состоящая из двух лесов coss.ru и sun.co.local.
Домен coss.ru является собственностью администраторов в СПБ без учетных записей и ПК, кроме некоторых серверных ролей.
Субдомен sun.co.local включает все пк и пользователей группы компаний в СПБ, а так же свои политики и администраторов в СПБ. Собственниками леса co.local и администраторами Enterprise Admin являются сотрудники МСК.
В связи с историческими разногласиями слияния/разделения ит структур МСК и СПБ, было решено внедрить отдельный лес coss.ru и завязать на него почти все сервисы, включая FQDN server.coss.ru включенных в субдомен sun.co.local.
Так же в отдельном лесе coss.ru был развернут свой PKI состоящий из root изолированного УЦ и Enterprise подчиненного выдающего. Данные сертификаты политиками распространены в проде домена sun.co.local для ПК и серверов использующих сертификаты для сервисов с именами "srvise.coss.ru". Все прекрасно функционирует.
Проблема: начали внедрять технологию 802.1x для аутентификации по сертификатам на ПК и пользователей и тут столкнулись с проблемой, что сертификаты для ПК и пользователей необходимо хранить в AD и каким то образом автоматически выдавать пользователям. управляемые в СПБ УЦ находится в другом лесу, в котором нет объектом ПК и пользователей, все они находятся в субдомене sun.co.local. Можно было изголяться создав доверительные отношения+ кросс сертификацию, но это не хорошее решение, так же необходимы права, на уровне леса, а таких прав у нас нет в субдомене sun.
В корневом домене co.local находится свой УЦ root изолированный и Enterprise Issuer.
Задача: В субдомене sun леса co.local организовать свой AD CA Issuer уровня Enterprise для того что бы хранить сертификаты в субдомене sun.co.local и так же выполнять Autoenroll для ПК и пользователей.
Вопрос: подскажите с какими техническими трудностями мы можем столкнуться ?
Ну например:
1. для того что бы установить выдающий и подчиненный Enterprise CA в субдомене sun, необходимо иметь права Enterprose Admin, так как установка EntCA требует запись в раздел конфигурации?
2. Экспорт закрытого ключа с вышестоящего CA из домена co.local на подчиненный в cубдомене sun это то же согласование на организационном уровне
3. Управление шаблонами только на уровне вышестоящего выдающего УЦ в домене co.local и требующие права Enterprise Admin? (можно конечно попросить один раз сконфигурировать шаблон, что бы он появился на CA в субдомене sun.co.local, но как показывает практика такое потребуется частенько).
Коллеги, посоветуйте пожалуйста, какую конфигурацию в данным момент лучше предпочесть, если мы в данной задаче зависим от вышестоящего домена и УЦ, для того что бы разместить у себя в субдомене sun.co.local свой выдающий УЦ ?

Ответить

Вернуться в «Windows Server 2012/2012 R2»