PKI que emite CA en controlleres de dominio

Estoy configurando una PKI que inicialmente se utilizará internamente. Como podemos crecer nuestro uso de esto, he optado por una jerarquía de tres niveles: CA de raíz y política sin connection (una CA de política en este momento para uso interno) y CA de emisión en línea. Habíamos discutido inicialmente el uso de nuestros controlleres de dominio como las CA emisoras en lugar de configurar las dedicadas.

Ahora estoy empezando a tener dudas acerca de si es una buena idea que nuestros DCs emitan certificates. Tenemos less de 1000 usuarios, por lo que nuestros DC no están gravemente gravados.

¿Alguien tiene alguna sugerencia a favor o en contra de hacer esto?

Actualmente, estamos ejecutando Windows 2003 Active Directory, pero actualizaremos a Windows 2008 en el próximo año. Estoy configurando Windows 2008 PKI.

One Solution collect form web for “PKI que emite CA en controlleres de dominio”

Un poco tarde, pero de todos modos. Por lo general, no se recomienda implementar la function de CA en un controller de dominio. Hace que sea difícil actualizar el AD como usted tiene que inplace actualizar el DC para las versiones más recientes del sistema operativo. Esto es awkard si se mueve desde un sistema operativo basado en SO de 32 bits a sistemas operativos de 64 bits como Windows Server 2008 R2. Además, como la preference es promover la construcción limpia DC nuevos en lugar de la actualización inplace, cuando se trata de degradar el viejo DC / CA combo que hace que sea incómodo.

  • ¿Por qué Windows podría reclamar falsamente que se ha revocado un certificate de CA raíz auto-firmado?
  • ¿Puedo restringir una CA intermedia para firmar sólo certificates de cliente?
  • Certificados 802.1x, EAP-TLS, RADIUS y máquinas Windows
  • pki linux auto inscripción
  • Descomprimir certificates antiguos de CA y Basic EFS
  • Varias CA en Windows Server 2012
  • Java.security.KeyStoreException: TrustedCertEntry no es compatible
  • ¿Qué es un archivo Pem y cómo difiere de otros formatos de archivos generados por OpenSSL?
  • Error en la llamada de procedimiento remoto durante la aplicación Configuración del Asistente de configuration de acceso remoto
  • ¿Cómo afecta este requisito SSL de 2048bit a las PKI internas existentes?
  • ¿Puedo encontrar la key privada ssh privada de la huella digital remota?
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.