1 ICA and CRL serving 2 different domain

tosei

20:19, 16/09/2023

I have 1 ICA and 1 CRL and I would like it to serve 2 different domain in my setup. Is that possible? I'm running Windows Server 2019. Note, I'm not able to set a trust relationship between the 2 domains.

I was told that the host in the other domain won't be able to contact the CRL to verify the revocation list. Is this correct?

0 + 0

bức tường lửa

pki

windows-server-2019

garethTheRed

20:37, 16/09/2023

Một CA chung sẽ cấp cho bất kỳ miền nào, miễn là bạn không có bất kỳ ràng buộc nào về tên. Tuy nhiên, tôi nghi ngờ rằng, vì đây là MS Windows, bạn đang hỏi liệu một CA đơn lẻ có thể _tự động đăng ký_ hai miền AD mà không cần thiết lập niềm tin hay không. Bạn cần làm rõ câu hỏi của mình nếu không nó có thể bị đóng lại một cách đáng tiếc.

Hồi đáp

Greg Askew

22:03, 16/09/2023

Như @garethTheRed đã nêu, nếu bạn đang tìm kiếm **các tiện ích gốc** tương tự mà bạn nhận được trong một miền/khu rừng không tin cậy, thì có lẽ là không. Điều đó nói rằng, không có gì ngăn cản một tổ chức tùy chỉnh điều này cho các thực thể bên ngoài và điều đó không có gì lạ. Chính phủ Hoa Kỳ có lẽ có cơ sở hạ tầng PKI lớn nhất và khá phức tạp/công phu. Một số đại lý tận dụng PKI của các đại lý khác do chi phí và quy mô kinh tế. Thường không có sự tin tưởng giữa các cơ quan hoặc kết nối loại IPSEC hạn chế tại các điểm vách ngăn.

Hồi đáp

tosei

03:32, 17/09/2023

Cảm ơn vi đa trả lơi. Hiểu rằng không nên có bất kỳ hạn chế nào khi ký tên cho cả hai miền. Tuy nhiên, tôi được thông báo rằng máy chủ trong miền khác sẽ không thể liên hệ với CRL để xác minh danh sách thu hồi. Điều này có đúng không?

Hồi đáp

garethTheRed

06:00, 17/09/2023

Đề xuất là sử dụng LDAP để lưu trữ CRL của bạn, trong trường hợp đó sẽ khó (mặc dù không phải là không thể) cho phép truy cập chỉ đọc vào AD của tên miền khác. Tuy nhiên, đề xuất hiện tại là sử dụng HTTP thay vì LDAP, trong trường hợp đó, bất kỳ bên phụ thuộc nào cũng có thể truy cập nó miễn là FQDN của máy chủ lưu trữ phân giải ở cả hai miền.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: 1 ICA and CRL serving 2 different domain

TH: 1 ICA และ CRL ให้บริการ 2 โดเมนที่แตกต่างกัน

RO: 1 ICA și CRL care deservesc 2 domenii diferite

RU: 1 ICA и CRL, обслуживающие 2 разных домена

VI: 1 ICA and CRL serving 2 different domain

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.