ฉันมี 2 windows server 2019 เช่น เซิร์ฟเวอร์ 1 และ เซิร์ฟเวอร์ 2 server1 เป็นตัวควบคุมโดเมน server1 มีบทบาทด้านล่างติดตั้ง: ADDS, ADCS, DNS, FILE STORAGE, IIS
server2 เชื่อมต่อกับตัวควบคุมโดเมนนั้น server1 มีการติดตั้งบทบาทด้านล่าง: ADCS, FILE STORAGE, IIS
ฉันได้ตั้งค่า PKI บนเซิร์ฟเวอร์ 1 และทุกอย่างทำงานได้ดี ฉันสามารถใช้คุณสมบัติ CRL และ OCSP สำหรับการตรวจสอบใบรับรองได้
ฉันต้องการสร้าง server2 เป็น CA รองของ server1 (root CA) และติดตั้งบทบาทที่เกี่ยวข้อง (ADCS) และสามารถแจกจ่ายใบรับรองผู้ใช้และใช้งานได้ดี แต่ฉันไม่สามารถทดสอบฟังก์ชัน CRL บนเซิร์ฟเวอร์ 2 ได้เนื่องจากต้องมีการผูก ldap กับเซิร์ฟเวอร์ 2
เมื่อฉันดีบั๊กเพิ่มเติม ฉันพบว่าเซิร์ฟเวอร์ LDAP ไม่ได้ทำงานบนเซิร์ฟเวอร์ 2 ฉันตรวจสอบพอร์ต 389 กำลังฟังบนเซิร์ฟเวอร์ 1 แต่ไม่ใช่เซิร์ฟเวอร์ 2
ดังนั้นจะเปิดใช้งานบริการ ldap บน server2 ได้อย่างไร ฉันไม่สามารถทดสอบฟังก์ชัน CRL ของ PKI ได้ เนื่องจาก URL ของ CDP เป็นที่อยู่ ldap
LDAP ไม่ใช่ข้อกำหนดเบื้องต้นสำหรับ ADCS หากบริษัทของคุณใช้ ADDS คุณจะมีตัวเลือกในการปรับใช้ Enterprise CA เพื่อลดความซับซ้อนในการออกใบรับรองและการปรับใช้กับผู้ใช้และคอมพิวเตอร์
หากคุณไม่มีโดเมน AD แสดงว่าคุณติดตั้งสแตนด์อโลน CA
นั่นคือเหตุผลที่วิธีการของคุณไม่สมเหตุสมผล คุณจะไม่ติดตั้ง ADDS บน server2 เพื่อเรียกใช้ CA ระดับกลางเท่านั้น
มีหลายวิธีในการตั้งค่าโครงสร้างพื้นฐาน PKI และดูเหมือนว่าคุณควรอ่านในหัวข้อนั้นเพื่อทำความเข้าใจเล็กน้อยเกี่ยวกับวิธีการบรรลุความต้องการของคุณ ฉันขอแนะนำให้คุณเริ่มต้นด้วยคำแนะนำนี้: https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/designing-and-implementing-a-pki-part-i-design-and-planning/ba-p/396953
แต่เพื่อตอบคำถามของคุณ: เข้าร่วมเซิร์ฟเวอร์ 2 กับโดเมน AD เดียวกันกับเซิร์ฟเวอร์ 1 และติดตั้ง CA ผู้ใต้บังคับบัญชาระดับองค์กร. หากคุณวางแผนที่จะให้ Root CA ของคุณออนไลน์ (ซึ่งฉันคิดว่า) ก็ควรจะเป็น CA รากองค์กร.
อย่างไรก็ตาม หากคุณวางแผนที่จะใช้ PKI แบบหลายชั้น CA รูทของคุณควรเป็นแบบสแตนด์อโลนและออฟไลน์ นอกจากนี้ คุณไม่ควรติดตั้ง CA บนตัวควบคุมโดเมนของคุณ และตำแหน่ง CDP และ AIA ของคุณควรอยู่บนเซิร์ฟเวอร์ HTTP เท่านั้น หรือปรับใช้เซิร์ฟเวอร์ OCSP เพิ่มเติมก็ได้
ในธุรกิจขนาดเล็กที่ต้องการใบรับรองภายในเท่านั้น คุณสามารถติดตั้ง Enterprise Root CA เดียวและใช้ LDAP เป็นที่ตั้ง CDP และ AIA ของคุณ
ฉันขอแนะนำให้คุณอ่านบทความนี้ หากคุณวางแผนที่จะนำ PKI ไปใช้ในการผลิตจริง
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
