windows-server-2008 – 具有脱机根目录的Windows PKI(可能使用OpenSSL) – 可能吗?

前端之家收集整理的这篇文章主要介绍了windows-server-2008 – 具有脱机根目录的Windows PKI(可能使用OpenSSL) – 可能吗?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在尝试建立一个双层PKI,我有很多问题.
由于AD的墓碑限制,我假设根(它将离线)不应该是AD的一部分.我对么?

我正在考虑的设置是一个根CA和多个中间体(用于不同目的).因此,根可以是独立的Windows标准或Linux OpenSSL(不知道这是否可行/可取).其中一个中间CA是AD的一部分(自动注册等).

所以,我的问题是:

根可以是独立的(不是AD的一部分)吗?这会导致证书链出现任何问题吗?

root可以是Linux OpenSSL吗?这会更难管理吗?

或者是否有墓碑限制的解决方法

谢谢.

有关参考,请参阅:http://blogs.technet.com/b/askds/archive/2009/10/13/designing-and-implementing-a-pki-part-ii.aspx[1]http://pki-tutorial.readthedocs.org/en/latest/advanced/index.html[2].

微软 specifies that the offline root CA machine should not be a member of a domain,所以它不会给你带来任何问题,它使AD墓碑生命周期问题的整个问题没有实际意义.以机智:

Set up a server that runs Windows that you will use for the root
certification authority. The server should not be a member of any
domain,should be disconnected from the network,and should be
physically secure.

我没有尝试过与OpenSSL和Windows CA进行广泛的互操作性测试,但原则上它应该可以正常工作 – 它是所有基于标准的PKI.当然,我已经使用OpenSSL签署了多次使用OpenSSL的Windows服务器证书,很多次没有任何不良影响.只要您习惯使用OpenSSL工具为第二层CA颁发证书,就不会出现任何特定的管理问题.

我认为使用一组工具和中间件在另一组工具上部署根CA没有特别的价值.你当然可以,但我不知道这是怎么“买”你的.

猜你在找的Windows相关文章