Добавление OCSP и NDES в существующую среду? Что можно установить вместе?
В настоящее время есть один автономный ЦС и один вспомогательный ЦС, в котором установлена только веб-регистрация. Рассматривая также реализацию NDES и OCSP.
Я знаю, что подача заявок через Интернет может быть установлена на выдающем центре сертификации, как он у меня есть, но как лучше всего реализовать это с точки зрения того, что можно установить вместе...
Должен ли я отменить Web Enrollment и установить NDES и его на одном сервере и OCSP на выделенном?
Должен ли я сохранить регистрацию на Iussuing для ручных сертификатов и иметь еще два сервера для NDES и OCSP или OCSP всегда должен быть автономным?
CA- srv1, выдача с Enroll srv2, NDES / OCSP-srv3
CA- srv1, Issuing- srv2, веб-регистрация / NDES-srv3, OCSP-srv4
CA- srv1, Issuing- srv2, веб-регистрация /NDES/OCSP- srv3
так далее
Имеет ли смысл то, что я пытаюсь выяснить? Трудно найти что-либо, что показывает, какие роли можно установить вместе, а какие всегда следует отделять от передового опыта.
1 ответ
Это может быть не по теме, потому что это своего рода вопрос планирования емкости, но то, как вы его настроите, во многом зависит от того, насколько интенсивно он будет использоваться. Поскольку вы планируете иметь только один выпускающий CA, я надеюсь, что он не будет использоваться слишком интенсивно. Вы можете настроить все на одной машине, если хотите, так что это как бы отвечает на ваш вопрос. Но вы действительно хотите? Это другой вопрос. Почему вы хотите настроить все на одном сервере? Например, сетевой ответчик предназначен, в частности, для устройств, которые не могут связаться с центром сертификации (где находится точка распространения CRL) для проверки отзыва сертификата... поэтому нет смысла размещать его на том же сервере. Или, если у вас огромная сеть, и вы хотите распределить нагрузку по проверке CRL, но поскольку у вас есть только один выдающий CA, это сомнительно.