web-dev-qa-db-ja.com

クロスフォレスト認証局

多層/クロスフォレストPKIインフラストラクチャをセットアップするための資料に関するヘルプを探しています。私が出くわすことができる唯一の記事は、1つのドメインに基本的な2層システムをセットアップすることだけです。

基本的に、私たちは管理ドメインを持っています(私たちは毎年会社を購入しているようですので、統合プロセスを支援するためにこれを持っています)。これをdomain1.comと呼びましょう。 domain1.comに2層形式(オンラインエンタープライズサブCAを使用したオフラインルート)でCAを正常にセットアップしました。

subca.domain1.com

現在、新しいドメインdomain2.comを取得する方法がわからないため、domain1.comsubcaから証明書を取得してください。 Microsoftは、domain1.comに結びつく異なるドメインごとにsubcaを作成する必要があると述べました。

subca.domain2.com

これは正しいですか?ルート権限がdomain1にある場合に、domain2.comドメインコントローラーに証明書を公開するようにsubca.domain2.comを構成するにはどうすればよいですか?最終成果物は、domain2.comでLDAPSの実行を開始することです。私を正しい方向に向けることができる人に感謝します...

certificatecertificate-authorityad-certificate-services
1
Matthew Dartez

Microsoftの立場は正しいですが、明確にする必要があります。通常、それぞれに個別のCAサーバーを展開する必要があります。 *森林*。たとえば、corp.domain1.comドメインに個別のCAを展開する必要はありません。

最終的に、サポートされるソリューションは2つあります。

  1. microsoftが言ったように、取得したADフォレストごとに個別のCAを展開する必要があります。この場合、各CAには個別の権限があり、それぞれのフォレストクライアントにのみ証明書を発行できます。

  2. windows Server 2008 R2(またはそれ以降)を親フォレストのCAとして使用することにより、フォレスト間証明書の登録を確立できます。 AD CS:フォレスト間証明書登録の展開 。これには、フォレスト間の双方向の信頼が必要です。これにより、親フォレストにあるCAサーバーを使用して、すべての信頼できるフォレストクライアントに証明書を展開できるようになります。

どちらのオプションでも、いくつかの管理作業が必要です。ただし、取得したフォレストを親フォレストに移行する場合、またはそれらを一元的に管理する場合は、オプション2を使用します。それ以外の場合、各フォレストに専用のIT担当者がいる場合は、オプション1の方が適しています。

また、フォレスト間での証明書の登録プロセスを簡素化する 登録Webサービス があることを思い出してください。クライアントは登録目的でCEP/CESサーバーを使用するため、ADPKIオブジェクトの同期を実行する必要はありません。

3
Crypt32