PKI que emite CA en controlleres de dominio

Estoy configurando una PKI que inicialmente se utilizará internamente. Como podemos crecer nuestro uso de esto, he optado por una jerarquía de tres niveles: CA de raíz y política sin connection (una CA de política en este momento para uso interno) y CA de emisión en línea. Habíamos discutido inicialmente el uso de nuestros controlleres de dominio como las CA emisoras en lugar de configurar las dedicadas.

Ahora estoy empezando a tener dudas acerca de si es una buena idea que nuestros DCs emitan certificates. Tenemos less de 1000 usuarios, por lo que nuestros DC no están gravemente gravados.

¿Alguien tiene alguna sugerencia a favor o en contra de hacer esto?

Actualmente, estamos ejecutando Windows 2003 Active Directory, pero actualizaremos a Windows 2008 en el próximo año. Estoy configurando Windows 2008 PKI.

One Solution collect form web for “PKI que emite CA en controlleres de dominio”

Un poco tarde, pero de todos modos. Por lo general, no se recomienda implementar la function de CA en un controller de dominio. Hace que sea difícil actualizar el AD como usted tiene que inplace actualizar el DC para las versiones más recientes del sistema operativo. Esto es awkard si se mueve desde un sistema operativo basado en SO de 32 bits a sistemas operativos de 64 bits como Windows Server 2008 R2. Además, como la preference es promover la construcción limpia DC nuevos en lugar de la actualización inplace, cuando se trata de degradar el viejo DC / CA combo que hace que sea incómodo.

  • ¿Es necesario cifrar una request de certificate VPN?
  • Windows PKI: ¿Cómo puedo importar, firmar / emitir y exportar un gran número de CSR?
  • Windows PKI con raíz sin connection (tal vez con OpenSSL) - Posible?
  • Distribución y gestión de certificates
  • Solicitud de cert de dominio de dominio de niño - los permissions de plantilla de certificate no permiten al usuario actual inscribirse 0x80094012
  • ¿Qué tan seguro es SFTP? ¿Hay algún beneficio en cifrar el tráfico con PKI también?
  • ¿El "Enterprise PKI" MMC permite realizar testings automatizadas de la PKI?
  • ¿Cómo publicar una CRL para una autoridad de certificación interna de Windows?
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.