各位邦友您好!
小弟最近在嘗試與CA憑證有關的網域環境架構.標準環境下的 企業根憑證(直接裝在DC上)+企業次級CA伺服器有測試架設過,Smart Card驗證功能亦大抵正常.
今天若我想要額外架設一獨立根憑證伺服器,再由另一企業次級憑證伺服器向該獨立根憑證伺服器申請憑證,並啟用在當前網域環境,不知道如此架構是否可行?有沒有一些細節或是技術上實行的難度要注意?若憑證伺服器不是架設在DC上,似乎有一些步驟要處理?小弟能想到的大概只有需設定群組原則分別加入信任的根憑證及中繼憑證等,這樣應該還不完整..
之所以會有這樣的想法,是想要模擬未來若直接向Verisign購買憑證並安裝在我自己的企業次級CA伺服器的話,就可以自行管理並發放諸多可直接使用於Internet的伺服器,也希望這樣的環境可以直接整合智慧卡(Smart Card)做PKI架構的驗證登入.(在購買之前想先行測試,是以用獨立根憑證伺服器來實現上述架構)
感覺憑證、智慧卡的資訊或是書籍相當少,小弟才疏學淺,還望各位前輩不吝賜教!
小弟最近在嘗試與CA憑證有關的網域環境架構.標準環境下的 企業根憑證(直接裝在DC上)+企業次級CA伺服器有測試架設過,Smart Card驗證功能亦大抵正常.
今天若我想要額外架設一獨立根憑證伺服器,再由另一企業次級憑證伺服器向該獨立根憑證伺服器申請憑證,並啟用在當前網域環境,不知道如此架構是否可行?有沒有一些細節或是技術上實行的難度要注意?若憑證伺服器不是架設在DC上,似乎有一些步驟要處理?小弟能想到的大概只有需設定群組原則分別加入信任的根憑證及中繼憑證等,這樣應該還不完整..
之所以會有這樣的想法,是想要模擬未來若直接向Verisign購買憑證並安裝在我自己的企業次級CA伺服器的話,就可以自行管理並發放諸多可直接使用於Internet的伺服器,也希望這樣的環境可以直接整合智慧卡(Smart Card)做PKI架構的驗證登入.(在購買之前想先行測試,是以用獨立根憑證伺服器來實現上述架構)
感覺憑證、智慧卡的資訊或是書籍相當少,小弟才疏學淺,還望各位前輩不吝賜教!