LDAP không phải là điều kiện tiên quyết cho ADCS. Nếu công ty của bạn sử dụng ADDS thì bạn có tùy chọn triển khai Enterprise CA để đơn giản hóa việc cấp và triển khai chứng chỉ cho người dùng và máy tính.
Nếu chưa có AD domain thì bạn cài đặt Standalone CAs.
Đó là lý do tại sao cách tiếp cận của bạn không có ý nghĩa. Bạn sẽ không cài đặt ADDS trên server2 chỉ để chạy một CA trung gian.
Có nhiều cách để thiết lập cơ sở hạ tầng PKI và có vẻ như bạn nên đọc chủ đề đó để hiểu một chút về cách đạt được nhu cầu của mình. Tôi đề nghị bạn bắt đầu với hướng dẫn này: https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/designing-and-implementing-a-pki-part-i-design-and-planning/ba-p/396953
Nhưng để trả lời câu hỏi của bạn: Tham gia máy chủ2 vào cùng một miền AD với máy chủ 1 và cài đặt CA cấp dưới của doanh nghiệp. Nếu bạn dự định có Root CA trực tuyến (mà tôi cho là vậy), thì đó phải là một CA gốc doanh nghiệp.
Tuy nhiên, nếu bạn định triển khai PKI nhiều tầng thì CA gốc của bạn phải độc lập và ngoại tuyến. Bạn cũng không bao giờ nên cài đặt CA trên bộ điều khiển miền của mình. Và các vị trí CDP và AIA của bạn chỉ nên ở trên một máy chủ HTTP, cũng có thể triển khai một máy chủ OCSP bổ sung theo tùy chọn.
Trong các doanh nghiệp nhỏ chỉ yêu cầu chứng chỉ trong nội bộ, bạn có thể thoát khỏi việc cài đặt một Enterprise Root CA duy nhất và cũng có thể sử dụng LDAP làm vị trí CDP và AIA của mình.
Tôi thực sự khuyên bạn nên đọc bài viết này, nếu bạn định đưa PKI của mình vào sản xuất.
