windows-server-2008 – 具有脱机根目录的Windows PKI(可能使用O
|
我正在尝试建立一个双层PKI,我有很多问题.
由于AD的墓碑限制,我假设根(它将离线)不应该是AD的一部分.我对么? 我正在考虑的设置是一个根CA和多个中间体(用于不同目的).因此,根可以是独立的Windows标准或Linux OpenSSL(不知道这是否可行/可取).其中一个中间CA是AD的一部分(自动注册等). 所以,我的问题是: 根可以是独立的(不是AD的一部分)吗?这会导致证书链出现任何问题吗? root可以是Linux OpenSSL吗?这会更难管理吗? 或者是否有墓碑限制的解决方法? 谢谢. 有关参考,请参阅:http://blogs.technet.com/b/askds/archive/2009/10/13/designing-and-implementing-a-pki-part-ii.aspx[1]和http://pki-tutorial.readthedocs.org/en/latest/advanced/index.html[2].
微软
specifies that the offline root CA machine should not be a member of a domain,所以它不会给你带来任何问题,它使AD墓碑生命周期问题的整个问题没有实际意义.以机智:
我没有尝试过与OpenSSL和Windows CA进行广泛的互操作性测试,但原则上它应该可以正常工作 – 它是所有基于标准的PKI.当然,我已经使用OpenSSL签署了多次使用OpenSSL的Windows服务器证书,很多次没有任何不良影响.只要您习惯使用OpenSSL工具为第二层CA颁发证书,就不会出现任何特定的管理问题. 我认为使用一组工具和中间件在另一组工具上部署根CA没有特别的价值.你当然可以,但我不知道这是怎么“买”你的. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- windows-server-2008-r2 – Windows 2008 Server R2自动关闭
- windows-8 – 如何向可以定位多个平台的商店提交应用程序?
- Windows安全策略 批量脚本
- Windows – IIS 6 SSL通过自定义VMware克隆后中断
- Windows的默认PATH系统变量?
- windows-server-2012 – Server 2012:更改桌面背景颜色
- windows – 是否可以从许多计算机创建更快的计算机?
- windows-server-2012 – Windows Server 2012 – RDP over
- <Windows> C/C++获取编译时间
- Windows批处理文件 – 连接子目录中的所有文件
- windows – 如何将perl脚本打包为32位可执行文件
- windows – 如何自动更改Ephemeral驱动器的指定字
- 是否有任何理由不使用Windows注册表进行程序设置
- operating-system – Windows内核模式驱动程序如
- batch-file – 用于在Windows 7中更改屏幕分辨率
- gopacket 在 windows 上面遇到的问题
- Windws Server 2008 R2 WEB环境配置之安装IIS方法
- 普通exe文件与.net Windows应用程序生成的exe文件
- Windows下面startup.bat启动Tomcat偶发死锁问题
- 如何将Windows COM端口输出重定向到文件?