khi bộ điều khiển miền tự động gia hạn các chứng chỉ ở trên, liệu họ có biết xem xét CA cấp dưới để gia hạn/cấp chứng chỉ mới dựa trên các mẫu được yêu cầu cho bộ điều khiển miền không?
Vâng. Máy khách đăng ký sẽ liệt kê tất cả các CA hỗ trợ mẫu được yêu cầu từ AD trước. Sau đó, khách hàng sẽ chọn CA ngẫu nhiên từ danh sách này để gửi yêu cầu gia hạn. Nghĩa là, xóa tất cả các mẫu khỏi CA gốc là được, khách hàng sẽ thử một CA có sẵn khác hỗ trợ mẫu này.
tái bútmặc dù tôi sẽ xem xét chuyển đổi CA gốc doanh nghiệp (đã tham gia miền) thành CA gốc độc lập (thành viên nhóm làm việc) để bạn có thể tắt CA gốc trong hầu hết thời gian vì nó không có gì để làm trực tuyến. Bạn sẽ bật nó một hoặc hai lần một năm để xuất bản CRL hoặc khi bạn cần ký chứng chỉ CA cấp dưới. Nhưng đó là một câu hỏi khác, chỉ là một cách tốt để làm theo các phương pháp hay nhất.
Cập nhật 1 (21.01.2022)
Các trang Microsoft Docs không hiển thị bất cứ điều gì về cách nó liệt kê các CA, v.v.
Khách hàng đăng ký cuộc gọi chung chung IX509Đăng ký::Đăng ký thực hiện một loạt các cuộc gọi (các bước rất đơn giản):
Khám phá CA bằng cách sử dụng [MS-XCEP]
- Tải danh sách các chính sách từ sổ đăng ký.
- Chính sách nhóm theo Id chính sách thuộc tính.
- Các nhóm được sắp xếp theo Trị giá thuộc tính, sau đó bởi xác thực thuộc tính. Xác thực Kerberos có quyền ưu tiên cao hơn. Các nhóm còn lại được sắp xếp theo thứ tự tùy ý.
- Truy vấn từng chính sách bằng cách gọi IPolicy::GetPoliciesResponse phương pháp mạng. Phản hồi chứa danh sách các dịch vụ web CA
- Phản hồi chứa: danh sách các mẫu chứng chỉ mà người gọi có quyền đăng ký và danh sách các điểm cuối CA (triển khai [MS-WSTEP] giao thức) với thông tin về các mẫu chứng chỉ được hỗ trợ.
- chuẩn bị danh sách trống.
- cho mỗi nhóm chính sách được sắp xếp:
- đặt hàng CA theo Trị giá thuộc tính, sau đó bởi xác thực thuộc tính. Xác thực Kerberos có quyền ưu tiên cao hơn. Các nhóm còn lại được sắp xếp theo thứ tự tùy ý. Loại bỏ CA mà người gọi không có quyền trên. Nối các CA đã đặt hàng vào danh sách theo cùng một thứ tự.
- lặp lại (8) cho đến khi tất cả các CA được thêm vào danh sách.
- cho mỗi CA trong danh sách còn lại:
- tạo yêu cầu chứng chỉ và gọi ICertRequest::Gửi để gửi yêu cầu đến CA đã chọn.
- lặp lại (11) cho đến khi cuộc gọi thành công.
Khám phá CA bằng cách sử dụng [MS-WCCE]
- thực hiện cuộc gọi vòng lặp do-while của ICertConfig::Tiếp theo để liệt kê tất cả các CA được tự động phát hiện (cục bộ, đã đăng ký trong AD, được lưu trữ trong thư mục dùng chung, v.v.). Điều này sẽ tạo ra một danh sách tất cả các CA có thể.
- Đối với mỗi khách hàng CA tạo một
ICertRequest2::GetCAProperty gọi với CR_PROP_TEMPLATES như một propID tham số. Loại bỏ các CA ngoại tuyến.
- Lọc danh sách thu được trong (1) để loại bỏ các CA không hỗ trợ mẫu được yêu cầu.
- nếu nhận biết trang web CA được định cấu hình, lọc danh sách các CA nằm trong cùng một trang ADDS với ứng dụng khách. Không lọc nếu nhận biết trang CA không được định cấu hình hoặc không có CA nào trong cùng một trang ADDS nơi khách hàng cư trú.
- Cuộc gọi ICertRequest::GetCACertificate để truy xuất chứng chỉ CA và xác thực từng chứng chỉ. Loại bỏ các CA có chứng chỉ không hợp lệ hoặc không đáng tin cậy.
- chọn CA tùy ý từ danh sách còn lại, tạo yêu cầu chứng chỉ và gọi ICertRequest::Gửi để gửi yêu cầu đến CA đã chọn.
Một lần nữa, đây là một chuỗi nhiệm vụ được đơn giản hóa để ứng dụng khách đăng ký khám phá các CA và gửi yêu cầu chứng chỉ.
Cập nhật 2
Bạn có biết điều gì ảnh hưởng đến các chứng chỉ hiện có được cấp từ SubCA hiện tại sau khi chúng tôi thay thế rootCA không?
nghĩa đen là không có gì miễn là CA gốc được khách hàng tin cậy.
