การลงทะเบียนตัวควบคุมโดเมนอัตโนมัติ - การเปลี่ยนแปลงการออก CA

เมื่อตัวควบคุมโดเมนต่ออายุใบรับรองข้างต้นโดยอัตโนมัติ พวกเขาจะรู้หรือไม่ว่าต้องดูที่ CA รองสำหรับการต่ออายุ/ออกใบรับรองใหม่ตามเทมเพลตที่จำเป็นสำหรับตัวควบคุมโดเมน

ใช่. ไคลเอนต์การลงทะเบียนจะระบุ CA ทั้งหมดที่รองรับเทมเพลตที่ร้องขอจาก AD ก่อน จากนั้นลูกค้าจะเลือก CA แบบสุ่มจากรายการนี้เพื่อส่งคำขอต่ออายุ นั่นคือ การลบเทมเพลตทั้งหมดออกจากรูท CA นั้นเป็นเรื่องปกติ ไคลเอนต์จะลองใช้ CA อื่นที่มีอยู่ซึ่งรองรับเทมเพลตนี้

ปล.แม้ว่าฉันจะพิจารณาแปลง Enterprise Root CA (เข้าร่วมโดเมน) เป็น Standalone Root CA (สมาชิกเวิร์กกรุ๊ป) เพื่อให้คุณสามารถปิด root CA ได้เกือบตลอดเวลาเพราะไม่มีอะไรให้ทำออนไลน์ คุณจะเปิดใช้งานปีละครั้งหรือสองครั้งเพื่อเผยแพร่ CRL หรือเมื่อคุณต้องการลงนามในใบรับรอง CA รอง แต่เป็นอีกคำถามหนึ่ง ซึ่งเป็นวิธีที่ดีในการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุด

อัปเดต 1 (21.01.2022)

หน้า Microsoft Docs ไม่แสดงอะไรเกี่ยวกับวิธีระบุ CA เป็นต้น

ลูกค้าลงทะเบียนเรียกทั่วไป IX509การลงทะเบียน::ลงทะเบียน ซึ่งทำการเรียกเป็นชุด (ขั้นตอนที่ง่ายมาก):

การค้นพบ CA โดยใช้ [MS-XCEP]

1. โหลดรายการนโยบายจากรีจิสทรี
2. นโยบายกลุ่มโดย รหัสนโยบาย คุณลักษณะ.
3. กลุ่มจะถูกจัดเรียงตาม ค่าใช้จ่าย แอตทริบิวต์แล้วโดย การรับรองความถูกต้อง คุณลักษณะ. การรับรองความถูกต้อง Kerberos มีความสำคัญสูงกว่า กลุ่มที่เหลือจะถูกจัดลำดับโดยพลการ
4. สอบถามกรมธรรม์แต่ละฉบับโทร IPolicy::GetPoliciesResponse วิธีการเว็บ การตอบสนองประกอบด้วยรายการบริการเว็บของ CA
5. การตอบสนองประกอบด้วย: รายการเทมเพลตใบรับรองที่ผู้เรียกมีสิทธิ์ลงทะเบียนและรายการปลายทาง CA (ที่ใช้ [MS-WSTEP] โปรโตคอล) พร้อมข้อมูลเกี่ยวกับเทมเพลตใบรับรองที่รองรับ
6. เตรียมรายการที่ว่างเปล่า
7. สำหรับแต่ละกลุ่มนโยบายที่จัดเรียง:
8. สั่งซื้อ CAs โดย ค่าใช้จ่าย แอตทริบิวต์แล้วโดย การรับรองความถูกต้อง คุณลักษณะ. การรับรองความถูกต้อง Kerberos มีความสำคัญสูงกว่า กลุ่มที่เหลือจะถูกจัดลำดับโดยพลการ กำจัด CA เนื่องจากผู้โทรไม่ได้รับอนุญาต เพิ่ม CA ที่สั่งซื้อต่อท้ายรายการในลำดับเดียวกัน
9. ทำซ้ำ (8) จนกว่า CA ทั้งหมดจะถูกเพิ่มในรายการ
10. สำหรับแต่ละ CA ในรายการที่เหลือ:
11. สร้างคำขอใบรับรองและการโทร ICertRequest::ส่ง เพื่อส่งคำขอไปยัง CA ที่เลือก
12. ทำซ้ำ (11) จนกว่าการโทรจะสำเร็จ

การค้นพบ CA โดยใช้ [MS-WCCE]

1. ทำ do- while loop call ของ ICertConfig::ถัดไป เพื่อระบุ CA ที่ค้นพบอัตโนมัติทั้งหมด (ในเครื่อง, ลงทะเบียนใน AD, เก็บไว้ในไดเร็กทอรีที่ใช้ร่วมกัน ฯลฯ) สิ่งนี้จะสร้างรายการ CA ที่เป็นไปได้ทั้งหมด
2. สำหรับลูกค้า CA แต่ละรายสร้าง ICertRequest2::GetCAProperty โทรด้วย CR_PROP_TEMPLATES เป็น โพรไอดี พารามิเตอร์. กำจัด CA ออฟไลน์
3. รายการตัวกรองที่ได้รับใน (1) เพื่อกำจัด CA ที่ไม่รองรับเทมเพลตที่ร้องขอ
4. ถ้า การรับรู้ไซต์ CA ได้รับการกำหนดค่า กรองรายการของ CA ที่อยู่ในไซต์ ADDS เดียวกันกับไคลเอนต์ อย่ากรองว่าไม่ได้กำหนดค่าการรับรู้ของไซต์ CA หรือไม่มี CA ในไซต์ ADDS เดียวกันกับที่ไคลเอ็นต์อาศัยอยู่
5. เรียก ICertRequest::GetCACertificate เพื่อดึงใบรับรอง CA และตรวจสอบแต่ละรายการ กำจัด CA ที่มีใบรับรองที่ไม่ถูกต้องหรือไม่น่าเชื่อถือ
6. เลือก CA ตามอำเภอใจจากรายการที่เหลือ สร้างคำขอใบรับรองและโทร ICertRequest::ส่ง เพื่อส่งคำขอไปยัง CA ที่เลือก

อีกครั้ง เป็นลำดับงานที่เรียบง่ายสำหรับลูกค้าการลงทะเบียนเพื่อค้นหา CA และส่งคำขอใบรับรอง

อัปเดต 2

คุณทราบหรือไม่ว่าใบรับรองที่มีอยู่จะมีผลอะไรบ้างที่ออกให้จาก SubCA ที่มีอยู่หลังจากที่เราแทนที่ rootCA

ไม่มีอะไรแท้จริงตราบใดที่ root CA ได้รับความไว้วางใจจากลูกค้า