由于AD的墓碑限制,我假设根(它将离线)不应该是AD的一部分.我对么?
我正在考虑的设置是一个根CA和多个中间体(用于不同目的).因此,根可以是独立的Windows标准或Linux OpenSSL(不知道这是否可行/可取).其中一个中间CA是AD的一部分(自动注册等).
所以,我的问题是:
根可以是独立的(不是AD的一部分)吗?这会导致证书链出现任何问题吗?
root可以是Linux OpenSSL吗?这会更难管理吗?
或者是否有墓碑限制的解决方法?
谢谢.
有关参考,请参阅:http://blogs.technet.com/b/askds/archive/2009/10/13/designing-and-implementing-a-pki-part-ii.aspx[1]和http://pki-tutorial.readthedocs.org/en/latest/advanced/index.html[2].
Set up a server that runs Windows that you will use for the root
certification authority. The server should not be a member of any
domain,should be disconnected from the network,and should be
physically secure.
我没有尝试过与OpenSSL和Windows CA进行广泛的互操作性测试,但原则上它应该可以正常工作 – 它是所有基于标准的PKI.当然,我已经使用OpenSSL签署了多次使用OpenSSL的Windows服务器证书,很多次没有任何不良影响.只要您习惯使用OpenSSL工具为第二层CA颁发证书,就不会出现任何特定的管理问题.
我认为使用一组工具和中间件在另一组工具上部署根CA没有特别的价值.你当然可以,但我不知道这是怎么“买”你的.
