He leído la respuesta a la siguiente " Lista de verificación para crear una raíz sin conexión y una autoridad de certificación intermedia (CA) "y tengo una pregunta basada en el sistema que estoy intentando construir
Es un sistema Windows 2008 con 3 dominios / bosque (Eso es un dominio por bosque)
Deseo usar certificados dentro de este y creo que debería poder hacerlo con una sola sala fuera de línea firmada por el mismo.
- ROOT - es la CA = Raíz sin conexión autofirmada
- DOM1IntRoot es la CA para el dominio de Active Directory DOM1.A.COM
- DOM2IntRoot es la CA para el dominio de Active Directory DOM2.A.COM
- DOM23IntRoot es la CA para el dominio de Active Directory DOM3.DOM2.A.COM
No hay confianzas, no hay subdominios. Lo que me gustaría hacer es firmar DOM1IntRoot, DOM2IntRoot y DOM3IntRoot con ROOT para que solo necesite una raíz fuera de línea
Así que eso significa que necesito instalar el certificado ROOT CA en cada dominio, lo cual creo que de Microsoft" Escenario de ejemplo para Contoso " significa que debo configurar la ubicación de AIA de LDAP en una partición de configuración que existe en todos los dominios (en este caso, DC = a, DC = com) y la ubicación de HTTP en algunos servidor Sin embargo, también dice que pueden tener ubicaciones CRL / AIA separadas, lo que parece contradictorio
Entonces, leí la respuesta a la que se hace referencia anteriormente y dice que deje el AIA / CRL en blanco. Lo que parece implicar que DOM1IntRoot, DOM2IntRoot, DOM3IntRoot publicarán el CRL / AIA para la RAÍZ
Tengo dos respuestas posibles, ya sea que ROOTCA tiene CRL / AIA o no. Si el ROOTCA tiene AIA / CRL, entonces, ¿qué debo especificar exactamente para las URL de LDAP / HTTP y FILE para las ubicaciones de AIA y CRL? Por ejemplo, ¿es esto correcto?
ldap:///CN=ROOTCA<CRLNameSuffix>,CN=ROOTCA,CN=CDP,CN=Public Key Services,CN=Services,DC=A,DC=COM
http://<SOMESERVER>/CertEnroll/ROOTCA<CRLNameSuffix><DeltaCRLAllowed>.crl
file://\<SOMESERVER>\CertEnroll\ROOTCA<CRLNameSuffix><DeltaCRLAllowed>.crl
Donde <SOMESERVER>
es un servidor con IIS que hará que los Certificados estén disponibles
Tenga en cuenta que NO estoy usando el nombre de los servidores raíz sin conexión como nunca se ha visto, ¿es correcto?
Si el ROOTCA no tiene AIA / CRL, ¿cómo publico una revocación de (digamos) DOM1IntRoot?
Estoy un poco confundido, por lo que esta pregunta puede estar comenzando por suposiciones completamente erróneas
Agregaré un poco de información sobre la estructura del dominio para intentar evitar algunas preguntas. - DOM1.A.COM es donde los clientes establecen - DOM2.A.COM es una red de tipo DMZ que protege DOM3 - Solo se accede a DOM3.DOM2.A.COM pero los usuarios de DOM1 inician sesión de forma remota en DOM2 y luego en otra sesión remota en DOM3 - Deseamos utilizar certificados para las vistas entre DOM1 y DOM2 y DOM2 y DOM3 - También usaremos certificados de DOM2 a los dispositivos de red (probablemente debería ser DOM3 pero eso aún se está discutiendo) - DOM2 y DOM3 están aislados de internet. DOM3 está aislado de todo excepto DOM2