PKI que emite CA en controlleres de dominio

Estoy configurando una PKI que inicialmente se utilizará internamente. Como podemos crecer nuestro uso de esto, he optado por una jerarquía de tres niveles: CA de raíz y política sin connection (una CA de política en este momento para uso interno) y CA de emisión en línea. Habíamos discutido inicialmente el uso de nuestros controlleres de dominio como las CA emisoras en lugar de configurar las dedicadas.

Ahora estoy empezando a tener dudas acerca de si es una buena idea que nuestros DCs emitan certificates. Tenemos less de 1000 usuarios, por lo que nuestros DC no están gravemente gravados.

¿Alguien tiene alguna sugerencia a favor o en contra de hacer esto?

Actualmente, estamos ejecutando Windows 2003 Active Directory, pero actualizaremos a Windows 2008 en el próximo año. Estoy configurando Windows 2008 PKI.

  • ¿Por qué OpenVPN da el error: "propósito de certificate no soportado" para un certificate intermedio?
  • ¿Puede alguien explicar las opciones easyrsa vars para la generación de PKI
  • Windows PKI con raíz sin connection (tal vez con OpenSSL) - Posible?
  • Certificado comodín para la Autoridad de Certificado SSL local?
  • cómo evitar que un usuario use la key privada después de salir de la organización?
  • ¿Es necesario cifrar una request de certificate VPN?
  • ¿Hay espacio OID reservado para las CA empresariales internas?
  • Windows PKI: ¿Cómo puedo importar, firmar / emitir y exportar un gran número de CSR?
  • One Solution collect form web for “PKI que emite CA en controlleres de dominio”

    Un poco tarde, pero de todos modos. Por lo general, no se recomienda implementar la function de CA en un controller de dominio. Hace que sea difícil actualizar el AD como usted tiene que inplace actualizar el DC para las versiones más recientes del sistema operativo. Esto es awkard si se mueve desde un sistema operativo basado en SO de 32 bits a sistemas operativos de 64 bits como Windows Server 2008 R2. Además, como la preference es promover la construcción limpia DC nuevos en lugar de la actualización inplace, cuando se trata de degradar el viejo DC / CA combo que hace que sea incómodo.

    El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.