各位邦友您好!
小弟最近在嘗試與CA憑證有關的網域環境架構.標準環境下的 企業根憑證(直接裝在DC上)+企業次級CA伺服器有測試架設過,Smart Card驗證功能亦大抵正常.
今天若我想要額外架設一獨立根憑證伺服器,再由另一企業次級憑證伺服器向該獨立根憑證伺服器申請憑證,並啟用在當前網域環境,不知道如此架構是否可行?有沒有一些細節或是技術上實行的難度要注意?若憑證伺服器不是架設在DC上,似乎有一些步驟要處理?小弟能想到的大概只有需設定群組原則分別加入信任的根憑證及中繼憑證等,這樣應該還不完整..
之所以會有這樣的想法,是想要模擬未來若直接向Verisign購買憑證並安裝在我自己的企業次級CA伺服器的話,就可以自行管理並發放諸多可直接使用於Internet的伺服器,也希望這樣的環境可以直接整合智慧卡(Smart Card)做PKI架構的驗證登入.(在購買之前想先行測試,是以用獨立根憑證伺服器來實現上述架構)
感覺憑證、智慧卡的資訊或是書籍相當少,小弟才疏學淺,還望各位前輩不吝賜教!
已邀請的邦友 {{ invite_list.length }}/5
Hi,
Offline root CA 必須在您尚未建置PKI之前就要先建立, 您已經有企業根憑證伺服器了, 若為了安全性的需要而要增添Offline root CA, 您可能要重新建立您的架構, 然後將您現有的憑證範本migrate過去, 至於已發行的憑證需要重新enroll.
"若直接向Verisign購買憑證並安裝在我自己的企業次級CA伺服器的話,就可以自行管理並發放諸多可直接使用於Internet的伺服器" <--如果沒誤會您的意思的話, 這是做不到的, 除非您也想成為CA的發行商...如果我沒誤會您的意思的話~~
首先感謝您的回應!
必須重新架構環境我了解,所以才想問說以獨立根憑證->簽發給企業次級CA重新架構不知道在技術上是否可行?照Dark大說法,若無法直接透過坊間公信的CA發放廠商對我的次級CA做簽署的話;企業根憑證->企業次級CA相比於獨立根憑證->企業次級CA的環境,沒特別意義、也沒甚麼必要囉? 大概看了一下如Verisign的網站,我知道可以購買個人憑證、或是網站伺服器用的憑證等等,所以自然就覺得,照說也該可以購買給企業次級CA的憑證吧,看來是不行^^""... 再請問一下,企業根憑證架設在DC之上,我知道可以省略掉許多步驟,但若我是另外架設在其他伺服器,我需要在手動額外做那些設定呢?(目前小弟僅知道群組原則信任根憑證、中繼的設定等等..)
iThome鐵人賽
看影片追技術