PKI, выдающий CA на контроллерах домена

Question

PKI, выдающий CA на контроллерах домена

Я устанавливаю PKI, который изначально будет использоваться для внутренних целей. Поскольку мы можем расширять наше использование этого, я выбрал трехуровневую иерархию - автономные корневые и политические центры сертификации (один Политический центр сертификации в настоящее время для внутреннего использования) и онлайновые выдающие центры сертификации. Сначала мы обсуждали использование наших контроллеров домена в качестве выдающих ЦС, а не установку выделенных.

Теперь я начинаю сомневаться в том, что стоит ли выдавать сертификаты нашим РС. У нас менее 1000 пользователей, поэтому наши контроллеры домена не облагаются большими налогами.

У кого-нибудь есть предложения за или против этого?

В настоящее время мы используем Windows 2003 Active Directory, но в следующем году мы будем обновляться до Windows 2008. Я настраиваю Windows 2008 PKI.

2

active-directory ad-certificate-services pki

Источник

dunxd 30 дек '10 в 11:25

1 ответ

Решение

Другие вопросы по тегам active-directory ad-certificate-services pki

maweeras 17 июл '11 в 13:09 2011-07-17 13:09 · Accepted Answer · 2011-07-17 13:09

Немного поздно, но в любом случае. Как правило, не рекомендуется развертывать роль CA на контроллере домена. Обновление AD затруднено, поскольку необходимо обновить DC для новых версий ОС. Это неудобно при переходе с 32-разрядной ОС на 64-разрядную ОС, например Windows Server 2008 R2. Кроме того, поскольку предпочтение состоит в том, чтобы продвигать чистые встроенные новые контроллеры домена в отличие от обновления на месте, когда дело доходит до демонтажа старого комбо DC/CA, это делает его неловким.