同一台服务器上的企业根 CA 和从属 CA
Enterprise Root CA and subordinate CA on the same server
我有一个 windows 服务器 2016,我安装了 AD CS 功能并配置了一个企业根 CA。
但是现在,我想在这个服务器上创建一个从属CA。
在网上搜索了一下,发现必须有另外一台服务器AD CS才能创建从属CA...
有人可以帮助我吗?
谢谢。
PS: 我在附件中添加了一张图片,这是想要的结果。
root ca with subordinate
你不会找到它,因为这是不可能的。在同一台机器上拥有两个 CA 有什么好处?
拥有两个独立 CA(根 CA 和 subordinate/issuing CA)的原因是根 CA 与颁发 CA 和网络隔离。通常,它们在物理上也是隔离的,在高级 PKI 中,可以在它们自己的安全室中使用额外的安全措施,例如闭路电视等。
发行 CA 承担了因某种形式的网络攻击或操作员错误而受到损害的大部分风险。如果情况变得更糟,可以通过让根 CA 为新的颁发 CA 签署新证书来替换颁发 CA。然后生活继续下去,没有太多的干扰。但是,如果根 CA 遭到破坏,则更换所有依赖方中安装的所有根 CA 证书将是一项更具挑战性的任务。
通过在同一台机器上安装两个 CA,您将失去上述好处,没有任何好处。如果您不想要两个 CA,那么只需继续操作单个企业 CA。
我有一个 windows 服务器 2016,我安装了 AD CS 功能并配置了一个企业根 CA。 但是现在,我想在这个服务器上创建一个从属CA。 在网上搜索了一下,发现必须有另外一台服务器AD CS才能创建从属CA...
有人可以帮助我吗?
谢谢。
PS: 我在附件中添加了一张图片,这是想要的结果。
root ca with subordinate
你不会找到它,因为这是不可能的。在同一台机器上拥有两个 CA 有什么好处?
拥有两个独立 CA(根 CA 和 subordinate/issuing CA)的原因是根 CA 与颁发 CA 和网络隔离。通常,它们在物理上也是隔离的,在高级 PKI 中,可以在它们自己的安全室中使用额外的安全措施,例如闭路电视等。
发行 CA 承担了因某种形式的网络攻击或操作员错误而受到损害的大部分风险。如果情况变得更糟,可以通过让根 CA 为新的颁发 CA 签署新证书来替换颁发 CA。然后生活继续下去,没有太多的干扰。但是,如果根 CA 遭到破坏,则更换所有依赖方中安装的所有根 CA 证书将是一项更具挑战性的任务。
通过在同一台机器上安装两个 CA,您将失去上述好处,没有任何好处。如果您不想要两个 CA,那么只需继续操作单个企业 CA。